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内 容 提 要 


为 帮助 广大 ICT 从 业 人 员 更 好 地 学 习 信息 和 网 络 技术 , 华为 技术 有 限 公 司 在 2012 年 9 月 发 布 了 业界 
首 款 免费 的 企业 网 络 仿真 软件 平台 eNSP (Enterprise Network Simulation Platform) 。 软 件 平台 推出 至 今 ， 
下 载 量 已 超过 百 万 ， 迅 速成 为 ICT 从 业 人 员 学 习 信 息 和 网 络 技术 的 首选 工具 。 随 着 学 习 的 深入 ， 越 来 越 多 
的 用 户 希 望 能 看 到 与 eNSP 配套 的 实验 学 习 指南 ， 从 而 更 好 地 利用 eNSP 学 习 信息 和 网 络 技术 ， 并 参加 华 
为 认证 考试 。 

为 此 ， 华 为 技术 有 限 公司 与 泰克 网 络 实验 室 〈 华 为 授权 培训 合作 伙伴 ) 联合 编写 了 本 书 。 本 书 最 大 
的 特点 是 依据 HCNA 的 知识 点 ， 基 于 eNSP 搭建 企业 网 络 真实 场景 ， 并 给 出 了 大 量 的 配置 案例 ， 将 真实 场 
景 与 配置 实例 紧密 结合 ， 使 读者 能 够 更 快速 、 更 直观 、 更 深刻 地 掌握 HCNA 所 需 的 知识 ， 提 高 操作 技能 ， 
增强 实战 经 验 。 本 书 主要 内 容 包 括 eNSP 使 用 说 明 、VRP 基础 操作 、 二 层 交换 技术 和 三 层 路 由 技术 等 ， 特 
别 适合 于 正在 学 习 HCNA 或 者 想 进一步 提高 对 网 络 知识 的 理解 及 实际 操作 技能 的 读者 。 
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作为 全 球 领先 的 信息 与 通信 和 解决 方案 供应 商 ， 华 为 以 “丰富 人 们 的 沟通 和 生活 ”为 
愿景 ， 利 用 在 ICT 领域 的 专业 技术 和 经 验 ， 帮 助 不 同 地 区 的 人 们 平等 、 自 由 地 接 入 到 信 
息 社会 ， 确 保 所 有 人 都 能 享受 到 信息 和 通信 服务 的 基本 权利 ， 致 力 于 消除 数字 鸿沟 。 我 
们 提倡 和 致力 于 信息 和 通信 技术 的 普及 ， 增 加 教育 机 会 并 培养 ICT 人 才 。 

为 帮助 广大 ICT 从 业 人 员 更 好 地 学 习 信 息 和 网 络 技术 ， 华 为 公司 在 2012 年 9 月 发 
布 了 业界 首 款 免费 的 企业 网 络 仿 真 软件 平台 eNSP(Enterprise Network Simulation 
Platform)。 这 款 仿真 软件 平台 主要 对 企业 网 络 路 由 器 、 交 换 机 、 防 火 墙 、WLAN 等 网 络 
设备 进行 软件 仿真 ， 具 备 高 仿真 、 界 面 友 好 、 操 作 方 便 、 版 本 更 新 及 时 等 特点 。eNSP 
一 经 推出 就 受到 社会 的 广泛 关注 和 欢迎 ， 下 载 量 已 超过 百 万 ， 迅 速成 为 ICT 从 业 人 员 学 
习 信 息 和 网 络 技术 的 首选 工具 。 随 着 学 习 的 深入 ， 越 来 越 多 的 ICT 从 业 人 员 希 望 能 看 到 
与 eNSP 配套 的 实验 学 习 指 南 ， 从 而 更 好 地 利用 eNSP 学 习 信息 和 网 络 技术 ， 并 参加 华 
为 认证 考试 。 

为 满足 广大 ICT 从 业者 的 学 习 需 求 ， 我们 联合 华为 授权 培训 合作 伙伴 一 一 泰克 网 络 
实验 室 ， 组 织 多 名 经 验 丰富 的 老师 编写 了 本 实验 指南 。 对 于 一 个 ICT 从 业 人 员 来 说 ， 理 
论 知识 固然 重要 ， 但 动手 实 操 能 力 更 不 可 少 。 许 多 仅仅 从 书本 上 学 习 信 息 和 网 络 技术 原 
理 的 ICT 从 业 人 员 , 在 面 对 真 实 的 组 网 时 往往 会 无 所 适 从 。 本 书 最 大 的 特点 是 依据 HCNA 
的 知识 点 ， 基 于 eNSP 搭建 企业 网 络 真 实 场景 ,配置 案例 系统 丰富 ， 实 验 步 又 细 致 严谨 ， 
文字 描述 详实 准确 。 

这 是 华为 “ICT 认证 系列 从 书 ” 中 一 本 不 可 多 得 的 实验 学 习 指 南 ， 希望 它 能 够 帮助 广 
大 读者 不 断 积累 实战 经 验 ， 同 时 系统 地 梳理 和 巩固 书本 上 所 学 的 技术 理论 知识 ， 使 得 理论 
与 实战 相得益彰 ， 从 而 进一步 帮助 读者 成 为 ICT 领域 的 专家 人 才 ， 在 ICT 行业 大 展 身 手 ! 
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全 球 培训 与 认证 部 部 长 
华为 企业 业务 集团 
2014 年 4 月 


了 中 


前 


本 书 实验 包括 : “原理 概述 ”“ 实 验 目的 ”“ 实 验 内 容 ” “实验 拓扑 ”“ 实 验 步骤 ” 
“思考 ”等 模块 。 读 者 应 首先 阅读 “原理 概述 ”和 “实验 目的 ”， 了 解 本 实验 应 该 掌握 的 
知识 和 技能 ， 再 进行 实验 操作 。 实 验 过 程 中 请 读者 仔细 阅读 “实验 步骤 ”中 的 说 明 ， 这 
些 内 容 将 很 好 地 展示 实验 的 思路 。 最 后 的 “思考 ”模块 ， 可 以 启发 读者 进行 进一步 思考 ， 
使 读者 能 更 加 深刻 地 理解 相关 知识 。 

为 了 更 便于 读者 学 习 和 练习 ， 我 们 把 每 个 实验 项 目 都 做 成 了 独立 的 eNSP 实验 软件 
包 , 包 括 每 个 实验 的 最 终 配置 和 思考 题 答案 等 内 容 都 放 到 网 站 上 提供 给 读者 下 载 和 学 习 ， 
读者 可 以 在 本 书 的 “使 用 说 明 ” 中 找到 这 些 网 址 。 


适用 读者 对 象 


本 书 的 基本 定位 是 华为 HCNA 认证 的 参考 书 ， 全 方位 涵盖 了 HCNA 的 知识 点 。 本 
书 适合 于 以 下 几 类 读者 。 

@ 使 用 华为 路 由 器 和 交换 机 的 用 户 

本 书 可 帮助 用 户 更 加 熟练 地 操作 和 使 用 华为 设备 ， 加 深 对 网 络 技术 的 理解 ， 通 过 实 
验 模拟 现 网 ， 增 加 实际 项 目 经 验 。 

e ICT 从 业 人 员 

本 书 可 作为 工具 用 书 ， 帮 助 ICT 从 业 人 员 熟 悉 华为 设备 ， 具 备 快速 配置 华为 路 由 器 
和 交换 机 的 能 力 , 掌握 相关 网 络 技术 的 应 用 。 本 书 更 有 助 于 ICT 从 业 人 员 获 取 华 为 认证 ， 
提升 在 企业 中 的 个 人 价值 。 

本 书 可 作为 华为 信息 与 网 络 技术 学 院 的 实验 教材 ， 也 可 作为 计算 机 通信 等 相关 专业 
学 生 的 自学 参考 书 。 配 合 eNSP 软件 ， 本 书 可 以 帮助 学 生 快 速 地 熟悉 华为 网 络 设备 的 操 
作 ， 理 解 和 掌握 信息 和 网 络 技术 ， 使 学 生 能 更 快 地 积累 企业 网 络 实践 经 验 ， 更 早 地 获得 
华为 认证 ， 在 今后 的 职业 生涯 中 有 一 个 更 好 的 起 步 。 

e 对 信息 和 网 络 技术 感 兴趣 的 爱好 者 

本 书 可 作为 学 习 信 息 和 网 络 技术 的 参考 书籍 ， 使 爱好 者 了 解 华为 产品 和 技术 的 特 
点 ， 掌 握 华 为 产品 和 技术 的 应 用 ， 并 为 其 进一步 的 技术 研究 提供 工具 和 指导 。 


本 书 主要 内 容 

全 书 共 分 为 14 章 ， 所 有 实验 都 是 基于 eNSP 作为 实验 工具 ， 按 照 HCNA 的 知识 点 
进行 设计 。 

第 1 章 : eNSP 及 VRP 基础 操作 

本 章 介绍 了 eNSP 软件 的 基本 操作 方法 、 华 为 VRP 通用 路 由 平台 的 基本 操作 方法 、 
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IP 基础 配置 、Telnet、Stelnet、FTP 的 操作 实例 。 

第 2 章 : 交换 机 基础 配置 

本 章 介绍 了 华为 交换 机 的 基本 配置 方法 ， 给 出 了 ARP、ARP proxy 的 配置 实例 。 

第 3 章 : VLAN 

本 章 给 出 了 VLAN 的 Access 接口 、Trunk 接口 、Hybird 接口 的 配置 实例 ， 以 及 分 别 
通过 单 臂 路 由 和 三 层 交 换 机 实现 VLAN 间 通 信 的 配置 实例 。 

第 4 章 : 生成 树 

本 章 给 出 了 STP 的 配置 实例 ， 并 详细 介绍 了 STP 的 选举 规则 和 定时 器 ， 给 出 了 
RSTP 和 MSTP 的 基础 配置 实例 。 

第 5 章 : 其 他 交换 技术 

本 章 给 出 了 GVRP、Smart-Link 与 Monitor-Link、Eth-trunk 的 配置 实例 。 

第 6 章 : 静态 路 由 

本 章 给 出 了 静态 路 由 和 默认 路 由 的 配置 实例 ， 并 在 此 基础 上 给 出 了 浮动 静态 路 由 和 
负载 均衡 的 配置 实例 。 

第 7 章 : RIP 

本 章 以 RIP 路 由 协议 为 主题 ， 给 出 了 包括 基本 配置 、 认 证 、 汇 总 、 版 本 兼容 、 故 障 
排除 等 多 方面 特性 的 配置 实例 。 

第 8 章 : OSPF 

本 章 以 OSPF 路 由 协议 为 主题 ， 给 出 了 包括 单 区 域 配置 、 多 区 域 配 置 、 认 证 、 被 动 
接口 等 多 方面 特性 的 配置 实例 。 

第 9 章 : VRRP 

本 章 给 出 了 VRRP 的 基本 配置 、 多 备份 组 、 跟 踪 接 口 及 认证 的 配置 实例 。 

第 10 章 : 基础 过 滤 工 具 

本 章 给 出 了 常用 过 滤 工具 、 基 本 的 访问 控制 列表 、 高 级 的 访问 控制 列表 及 前 绥 列 表 
的 配置 实例 。 

第 11 章 : 广域网 

本 章 介 绍 了 HDLC 和 PPP 的 基础 配置 方法 ， 给 出 了 PAP 和 CHAP 认证 的 配置 实 
例 ， 介 绍 了 帧 中 继 的 基础 配置 方法 ， 给 出 了 帧 中 继 网 络 中 OSPF 协议 的 配置 实例 。 

第 12 章 : DHCP 

本 章 给 出 了 基础 全 局 地 址 池 和 基础 接口 地 址 池 的 DHCP 配置 实例 ， 同 时 也 给 出 了 
DHCP 中 继 的 配置 实例 。 

第 13 章 : IPv6 

本 章 介绍 了 IPv6 地 址 的 基础 配置 ， 给 出 了 RIPng 路 由 协议 和 OSPFv3 路 由 协议 的 
配置 实例 。 

第 14 章 : 其 他 特性 

本 章 介 绍 了 SNMP 协议 的 基础 配置 ， 给 出 了 GRE 协议 的 配置 实例 ， 给 出 了 使 用 
eNSP 软件 与 真实 PC 进行 桥接 的 方法 示例 ， 以 及 NAT 技术 的 配置 实例 。 


华为 认证 简介 


华为 认证 是 华为 公司 凭借 多 年 信息 通信 技术 人 才 培 养 经 验 ， 以 及 对 行业 发 展 的 深刻 
理解 ， 基 于 ICT ne 信息 通信 技术 ) 产业 链 人 才 个 
人 职业 发 展 生命 周期 ， 搭 载 华 为 “ 云 一 管 一 端 ”融合 技术 ， 推 出 的 覆盖 IP、IT、CT 以 

及 ICT 融合 技术 领域 的 认证 体系 ， 是 业界 唯一 的 ICT 全 技术 领域 认证 体系 。 

华为 公司 经 过 20 多 年 在 ICT 行业 培训 和 认证 领域 的 积累 ， 已 经 在 全 球形 成 了 完整 
的 培训 认证 体系 ， 包 括 自 有 的 培训 中 心 、 授 权 的 培训 中 心 以 及 与 高 校 合作 的 教育 项 目 ， 
累计 参加 华为 培训 的 人 次 已 超过 300 万 ， 培 训 与 考试 服务 覆盖 160 多 个 国家 ， 平 均 每 天 
有 逾 250 名 学 员 在 全 球 各 地 接受 华为 的 技术 培训 。 

对 行业 不 同 领域 的 人 才 ， 华 为 均 有 与 之 匹配 的 知识 和 技能 培养 解决 方案 ， 对 其 进行 
准确 合理 的 能 力 评 估 。 针 对 个 人 的 职业 发 展 历程 ， 华 为 提供 从 工程 师 到 资深 工程 师 、 到 
专家 、 到 架构 师 ， 从 单一 的 技术 领域 到 ICT 融合 的 职业 认证 ;针对 华为 的 合作 伙伴 ， 基 
于 不 同 岗 位 ， 提 供销 售 专家 、 解 决 方案 专家 、 售 后 专家 等 专业 认证 。 

要 全 面 了 解 华为 认证 培训 相关 信息 ， 请 访问 华为 培训 认证 主页 (http:/supporthuawei. 
com/learning ) 。 

要 了 解 华为 认证 最 新 动态 ， 请 关注 华为 认证 官方 微 博 (http://e.weibo.com/hwcertification )。 

通过 华为 官方 论坛 链接 (http://support.huawei.com/ecommunity/bbs) 点 击 进入 华为 认 
证 版 块 (华为 职业 认证 包含 的 内 容 如 图 1 所 示 ), 可 以 和 广大 用 户 一 起 进行 技术 问题 的 探 
讨 ， 以 及 考试 学 习 资 料 的 分 享 。 
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图 1 华为 职业 认证 的 内 容 
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AR 系列 路 由 器 


2011 年 , 华为 公司 发 布 了 第 三 代 企业 接 入 路 由 器 AR G3 系列 。 该 系列 采用 多 核 CPU 
及 大 容量 交换 网 ， 是 集 安全 、 语 音 、 互 联 、 无 线 于 一 体 的 多 业务 的 企业 路 由 器 ， 并 通过 
了 北美 权威 机 构 的 评测 ， 性 能 是 业界 水 平 的 2 倍 以 上 ， 从 根本 上 为 企业 多 业务 环境 的 优 
质 体验 提供 了 保证 。 

AR G3 系列 企业 路 由 器 一 般 位 于 企业 内 部 与 外 部 网 络 的 连接 处 ， 是 内 部 与 外 部 网 络 
之 间 数 据 流 的 唯一 出 入 口 ， 能 将 多 种 业务 部 署 在 同一 设备 上 ， 极 大 地 降低 了 企业 网 络 建 
设 的 初期 投资 与 长 期 运 维 成 本 。 用 户 可 以 根据 企业 用 户 规模 选择 不 同 规格 的 AR G3 路 由 
器 作为 出 口 网 关 设 备 。AR 系列 路 由 器 如 图 2 所 示 。 


AR3260 












总 部 (150 一 500 人 ) 
AR2201-48FE ”AR2204 AR2220/AR2220-S AR2220L AR2240 


中 型 分 支 (50 一 150 人 ) 
We ARI220LARI220:S ARI220L AR1220V AR1220W/AR1220VW 


小 型 分 支 (10 一 50 人 ) AR151 ARISIG-HSPA+7 ARISIW-P AR157W AR157VW 


cm baa) ads alias cbs 


0 AR207/AR207-S AR207V/207V-P AR207G-HSPA+7 AR201VW-P AR207VW 


sono CO 


2 AR 系列 路 由 器 










Sx700 系列 交换 机 


华为 公司 于 2010 年 6 月 推出 面向 企业 网 络 的 Sx700 系列 交换 机 。Sx700 系列 交换 机 
在 提供 高 带宽 、 高 性 能 服务 的 基础 上 ， 融 合 了 可 靠 、 安 全 、 绿 色 环保 等 先进 技术 ， 具 备 
强大 的 扩展 性 ， 满 足 企 业 网 络 的 持续 演进 需求 。 在 提高 用 户 生产 效率 的 同时 ， 保 证 了 网 
络 最 大 正常 运行 时 间 ， 从 而 降低 用 户 的 总 拥有 成 本 。Sx700 系列 交换 机 基于 新 一 代 高 性 
能 硬件 和 统一 的 VRP 平台 , 主要 解决 局 域 网 络 的 部 署 和 建设 , 以 及 数据 中 心 的 接 入 应 用 。 
在 资质 和 认证 方面 ， 华 为 交换 机 在 基本 功能 、 节 能 减 排 、 可 靠 性 、 互 通 性 等 方面 都 通过 


华为 路 由 交换 产品 介绍 3 


了 北美 权威 评测 机 构 的 全 方位 测试 和 认证 , 是 业界 不 可 多 得 的 高 性 价 比 网 络 产 品 。 Sx700 
系列 交换 机 如 图 3 所 示 。 
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图 3 Sx700 系列 交换 机 


企业 网 络 解决 方案 


企业 网 络 的 构建 可 根据 企业 本 身 的 规模 大 小 选择 不 同 的 解决 方案 。 例 如 ， 一 个 小 型 
分 支 机 构 , 可 使 用 S3700 作为 接 入 层 交 换 机 直接 连接 到 作为 网 络 出 口 的 AR 系列 路 由 器 。 
大 中 型 企业 网 络 通常 需要 分 层 设 计 ， 接 入 层 可 部 署 S3700 交换 机 ， 实 现 对 不 同类 型 用 户 
终端 的 接 入 ; 汇聚 层 可 采用 S5700 交换 机 ， 下 行 通过 千 兆 接口 连接 接 入 交换 机 ， 上 行 通 
过 万 兆 光 口 连接 核心 层 路 由 器 ; 核心 层 可 根据 需求 选择 不 同 规格 的 AR 路 由 器 作为 核心 
层 设备 。 

华为 数 通 产品 企业 网 络 解决 方案 场景 如 图 4 所 示 。 





图 4 华为 数 通 产品 企业 网 络 解决 方案 场景 
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eNSP 介绍 


eNSP 简介 


eNSP (Enterprise Network Simulation Platform) 是 一 款 由 
华为 自主 开发 的 、 免 费 的 、 可 扩展 的 、 图 形 化 操作 的 网 络 仿真 
工具 平台 ， 主 要 对 企业 网 络 路 由 器 、 交 换 机 及 相关 物理 设备 进 
行 软件 仿真 ， 完 美 呈现 真实 设备 实景 ， 支 持 大 型 网 络 模拟 ， 可 
让 广大 用 户 能 够 在 没有 真实 设备 的 情况 下 模拟 演练 ， 学 习 网 络 
技术 。 

针对 越 来 越 多 的 ICT 从 业者 对 真实 网 络 设备 模拟 的 需求 ，eNSP 企业 网 络 仿真 平 
台 拥 有 着 仿真 程度 高 、 更 新 及 时 、 界 面 友 好 、 操 作 方 便 等 特点 。 这 款 仿真 软件 运行 的 
是 与 真实 设备 同样 的 VRP 操作 系统 ， 能 够 最 大 程度 地 模拟 真实 设备 环境 。 用 户 可 以 
利用 eNSP 模拟 工程 开局 与 网 络 测试 ， 高 效 地 构建 企业 优质 的 ICT 网 络 。eNSP 支持 
与 真实 设备 对 接 ， 以 及 数据 包 的 实时 抓 取 ， 可 以 帮助 用 户 深 刻 理 解 网 络 协议 的 运行 原 
理 ， 协 助 进行 网 络 技术 的 钻研 和 探索 。 另 外 ， 用 户 还 可 以 利用 eNSP 模拟 华为 认证 相 
关 实 验 (HCNA、HCNP-R&S、HCIE-R&S 等 )， 能 更 轻松 地 获得 华为 认证 ， 成 就 技 
术 专 家 之 路 。 

eNSP 的 免费 发 布 ， 将 为 用 户 提 供 近 距离 体验 华为 设备 的 机 会 。 无 论 是 操作 数 通 产 
品 、 维护 现 网 的 技术 工程 师 , 还 是 教授 网 络 技术 的 培训 讲师 , 或 者 是 想 要 获得 华为 认证 ， 
获得 能 力 认 可 的 在 校 学 生 ， 相 信和 都 可 以 从 eNSP 中 受益 。 


eNSP 的 特点 


针对 影响 用 户 体验 的 主要 问题 ， 例 如 安装 是 否 方便 、 仿 真 度 是 否 够 高 、 是 否 可 视 化 
操作 、 是 否 可 更 新 等 ，eNSP 做 到 了 扬 各 家 之 长 ， 避 各 家 之 短 ， 给 用 户 带 来 极 佳 的 操作 
体验 ， 它 具备 以 下 几 个 特点 。 

1. 人 性 化 图 形 界面 

eNSP 全 新 的 UI 界面 如 图 5 所 示 。 图 形 化 界面 不 但 美观 ， 且 操作 时 可 轻松 上 手 ， 包 
括 拓扑 搭建 和 配置 设备 等 。 2 

2. 设备 图 形 化 直观 展示 ， 支 持 插 拔 接口 卡 

在 设备 真实 的 图 形 化 视图 下 ， 可 将 不 同 的 接口 卡 拖 搜 到 设备 空 槽 位 ， 单 击 电源 开关 
即 可 启动 或 关闭 设备 ， 使 用 户 对 设备 的 感受 更 直观 。 

3. 多 机 互联 ， 分 布 式 部 署 

最 多 可 在 4 台 服 务 器 上 部 署 200 台 左 右 的 模拟 设备 ， 并 且 实 现 互联 ， 可 以 模拟 大 型 
复杂 网 络 实验 。 





eNSP 介绍 5 
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图 5 eNSP 全 新 的 UI 界面 


4. 高 度 仿真 ， 实 景 再 现 ， 支 持 设备 功 能 多 

高 度 仿真 的 二 层 转发 ， 运 行 华为 通用 路 由 平台 VRP 系统 ， 支 持 对 路 由 器 、 交 换 
机 各 种 特性 的 仿真 和 模拟 (包括 STP/RSTP/MSTP、Mux VLAN、SEP、GVRP 等 各 种 
协议 )， 提 供 AR 全 系列 仿真 款 型 支持 NAT、 防 火 墙 、IPSec、SSLVPN、MQC.、 AC 
等 功能 。 

5. 不 断 增 加 的 功能 特性 模拟 

随 着 真实 产品 的 升级 更 新 ， 软 件 将 支持 增加 更 多 更 新 的 功能 特性 与 之 对 应 。 用 户 发 
现任 何 问题 都 可 以 通过 华为 support-e 官网 论坛 进行 问题 反馈 , 华为 公司 有 专人 负责 技术 
支持 和 疑问 解答 ， 亦 可 通过 邮箱 eNetwork_tools@huawei.com 进行 反馈 ， 反 馈 的 问题 和 
建议 将 通过 后 续 月 度 版 本 予以 快速 响应 。 

6. 完全 免费 

软件 完全 免费 ， 面 向 所 有 人 和 群 开放 下 载 ， 用 户 可 登录 http://enterprise.huawei.com/cn/ 
华为 官方 网 站 进行 下 载 。 
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使 用 说 明 


本 书 基于 的 eNSP 软件 版 本 为 V100R002C00B390， 请 读者 于 官网 上 对 应 下 载 使 用 ， 
以 避免 因 使 用 软件 版 本 不 符 而 造成 实际 实验 操作 与 书 中 内 容 不 一 致 。 
受 篇 幅 所 限 ， 在 本 书 的 实验 现象 输出 命令 中 ， 凡 是 不 与 实验 主题 相关 的 部 分 都 以 省 


另外 ， 实 验 常 用 的 设备 接口 在 正文 中 以 缩 略 词 表 示 ， 如 Ethernet 0/0/0 以 E 0/0/0 表 
示 ; Gigabit Ethernet 0/0/0 以 GE 0/0/0 表示 ; Serial 0/0/0 以 S 0/0/0 表示 。 

本 书 中 每 个 实验 的 拓扑 图 、 思 考题 答案 及 最 终 配 置 都 以 电子 文件 形式 在 网 页 上 提 
供 免费 下 载 , 详情 请 访问 华为 官方 论坛 链接 (http://support.huawei.com/ecommunity/bbs) 
点 击 进入 华为 认证 版 块 (二 维 码 如 图 6 所 示 ); 或 者 访问 泰克 网 络 实验 室 官方 网 站 中 的 
华为 版 块 〈 二 维 码 如 图 7 所 示 ) 链接 (http://www.tech-lab.cn/huawei)。 
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1.1 认识 eNSP 


原理 概述 


eNSP 作为 一 款 网 络 仿真 工具 平台 ， 可 模拟 华为 企业 级 路 由 器 和 交换 机 的 大 部 分 特 
性 ， 可 模拟 PC 终端 、 集 线 器 、 网 络 云 、 帧 中 继 交 换 机 等 。 通 过 仿真 设备 配置 功能 ， 用 
户 可 以 快速 学 习 华 为 命令 行 ， 可 通过 真实 网 卡 实现 与 真实 网 络 设备 的 对 接 ， 并 且 还 可 以 
模拟 接口 抓 包 ， 直 观感 受 各 种 协议 的 报 文 交 互 过 程 。 

eNSP 使 用 图 形 化 操作 界面 ， 支 持 拓扑 创建 、 修 改 、 删 除 、 保 存 等 操作 ;支持 设备 
拖 搜 、 接 口 连 线 操 作 ， 通 过 不 同 颜色 直观 反映 设备 与 接口 的 运行 状态 。eNSP 还 预 置 了 
大 量 工程 案例 ， 可 直接 打开 演练 学 习 。 

eNSP 支持 单机 版 本 和 多 机 版 本 ， 单 机 部 署 指 只 在 一 台 主机 上 完成 组 网 ， 多 机 部 署 
指 Server 端 分 布 式 部 署 在 多 台 服 务 器 上 。 多 机 组 网 场景 最 大 可 模拟 200 台 设 备 组 网 规模 。 

华为 完全 免费 对 外 开放 eNSP， 直 接 下 载 安装 即 可 使 用 ， 无 需 申请 license。 初 学 者 、 
专业 人 人员、 学生、 讲师、 技术 人 员 均 能 免费 使 用 。 


实验 目的 


。 认识 eNSP 

。 掌握 eNSP 的 安装 方法 

。 了 了解 eNSP 的 各 种 功能 

。 掌握 运用 eNSP 搭建 网 络 拓扑 并 进行 实验 的 操作 方法 


实验 内 容 
本 实验 将 从 安装 eNSP 开始 ， 全 方位 介绍 eNSP 的 功能 ， 包 括 eNSP 软件 的 主 界面 、 


各 工具 栏 的 使 用 方法 、eNSP 所 支持 的 网 络 设 备 以 及 如 何 灵活 地 使 用 这 些 设备 搭建 网 络 
拓扑 图 ， 模 拟 现实 组 网 。 


实验 步骤 


1. 安装 eNSP 

不 管 是 学 习 网 络 知识 还 是 用 于 复 现 现 网 问题 或 项 目 交 付 前 的 预 模 拟 等 ， 都 需要 模拟 
组 网 验证 。 但 现实 中 往往 缺少 真实 设备 ， 而 通过 eNSP 可 以 很 方便 地 组 建 虚拟 网 络 ， 模 
拟 现实 网 络 环境 进行 实验 。 

在 华为 官方 网 站 (http://enterprise.huawei.com) 上 可 以 下 载 到 最 新 版 本 的 eNSP 安装 包 。 
由 于 eNSP 上 每 台 虚 拟 设备 都 要 占用 一 定 的 内 存 资 源 ， 所 以 eNSP 对 系统 的 最 低 配 置 要 求 
为 : CPU 双核 2.0GHz 或 以 上 ， 内 存 2GB， 空 闲 磁盘 空间 2GB， 操作 系统 为 Windows XP、 
Windows Server 2003 或 Windows 7, 在 最 低 配 置 的 系统 环境 下 组 网 设备 最 大 数量 为 10 台 。 

安装 eNSP 前 请 先 检 查 系 统 配置 ， 确 认 满足 最 低 配 置 后 再 进行 安装 ， 步 又 如 下 。 

步骤 1: 双击 安装 程序 文件 ， 打 开 安 装 问 导 。 

步骤 2: 在 “选择 安装 语言 ”对 话 框 中 选择 “中 文 (简体 )”， 单 击 “ 确 定 ” 按 钮 ， 
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如 图 1-1 所 示 。 





图 1-1 选择 安装 语言 
步骤 3: 进入 欢迎 界面 ， 单 击 “ 下 一 步 (N)” 按 钮 ， 如 图 1-2 所 示 。 


ED 


欢迎 使 用 Enterprise Network 
Simulation Platform (eNSP) 安装 向 导 


现在 将 要 把 eNSP V1.2.00.390 安装 到 您 的 电脑 中 。 


建议 在 继续 之 前 关闭 其 它 所 有 正在 运行 的 应 用 程序 。 
单 击 [下 一 步 ] 继 续 ! 要 退出 安装 ， 请 单 击 叹 消 j。 








rsm] ws | 
图 1-2 欢迎 界面 


步骤 4: 设置 安装 的 目录 (整个 目录 路 径 都 不 能 包含 非 英文 字符 ), 单 击 “ 下 一 步 (N)” 
按钮 ， 如 图 1-3 所 示 。 











单 击 [下 一 步 ] 继 续 。 如 果 您 想 要 选择 不 同 的 文件 买 ， 请 单 击 [浏览] 


完成 安装 至 少 需 要 768.2 M8 的 可 用 磁盘 空间 。 





< 上 一 步 B] | 下 一 步 N)> 取消 | 


图 1-3 选择 安装 位 置 
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步骤 $: 设置 eNSP 程序 快捷 方式 在 开始 菜单 中 显示 的 名 称 ， 单 击 “ 下 一 步 CN)” 
按钮 ， 如 图 1-4 所 示 。 





图 1-4 选择 开始 菜单 文件 夹 


步骤 6: 选择 是 否 要 在 桌面 创建 快捷 方式 ， 单 击 “ 下 一 步 CN)” 按 钮 ， 如 图 1-5 
所 示 。 








1-5 ”选择 创建 桌面 快捷 方式 


步骤 7: 选择 需 安装 的 软件 ， 注 意 : 首次 安装 请 选择 安装 全 部 软件 ， 单 击 “ 下 一 步 
(N)” 按 钮 ， 如 图 1-6 所 示 。 
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选择 安装 其 他 程序 
eNSP 的 使 用 需要 WinPcap 、Wireshatkk 和 VirtualBox 的 支持 









图 1-6 选择 安装 其 他 程序 
步骤 8: 确认 安装 信息 后 ， 单 击 “ 安 装 〈I) ”按钮 开始 安装 ， 如 图 1-7 所 示 。 


安装 eSP 


礁 备 安装 
现在 准备 开始 往 您 的 电脑 中 安装 eNSP。 


1-7 准备 安装 


步骤 9: 安装 完成 后 ， 若 不 希望 立刻 打开 程序 ， 可 取消 选中 “运行 eNSP” 复 选 框 。 
单 击 “ 完 成 (F)” 按 钮 结束 安装 ， 如 图 1-8 所 示 。 
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正在 完成 eNSP 安装 向 导 


eNSP 已 成 功 地 安装 到 您 的 电脑 中 。 


此 应 用 程序 可 以 通过 选择 已 安装 的 快捷 图 标 来 运行 。 
单 击 院 成 ] 结 束 安 装 。 


区 到 行 eNSB 


阿 显示 更 新 日 志 
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图 1-8 安装 完成 


2， 熟悉 eNSP 界面 
启动 eNSP 模拟 器 ， 可 以 看 到 其 主 界面 ， 如 图 1-9 所 示 。 









2-1Singk-Area osPF -TE lolx 


GE 0/0/0 


2 了 coM x03] 
Ethernet 0/0/1 stonn ¢3 ctouol ehemeonn | 


Ethernet 0/0/2 


GE 0/0/0 
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1-9 eNSP 主 界面 





图 


eNSP 主 界面 分 为 五 大 区 域 。 区域 1 是 主 菜 单 ， 提 供 “ 文 件 ”“ 编 辑 ”“ 视 图 ”“ 工 具 ” 
“帮助 ”菜单 ， 它 们 的 作用 如 下 。 


“文件 ”菜单 用 于 拓扑 图 文件 的 打开 、 新 建 、 保 存 、 打 印 等 操作 。 

“编辑 ”菜单 用 于 撤销 、 恢 复 、 复 制 、 粘 贴 等 操作 。 

“视图 ”菜单 用 于 对 拓扑 图 进行 缩放 和 控制 左右 侧 工具 栏 区 的 显示 。 

“工具 ”菜单 用 于 打开 调 色 板 工 具 添 加 图 形 、 启 动 或 停止 设备 、 进 行 数据 抓 包 和 
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各 选项 的 设置 。 
国 “帮助 ”菜单 用 于 查看 帮助 文档 、 检测 是 否 有 可 用 更 新 、 查 看 软件 版 本 和 版 权 信息 。 
国 进入 工具 菜单 ,选择 “选项 ”命令 , 在 弹出 的 “选项 ”对 话 框 中 设置 软件 的 参数 ， 
如 图 1-10 所 示 。 





癌 显示 网 格力 自动 对 齐 


网 格 大 小 : |100 
(建议 范围 : 80-1000) 





隔年 项 显示 cl 


工作 区 域 大 小 
工作 区 域 宽度 《 建议 2000 》 





工作 区 域 长 度 ( 建议 2000 》 











图 1-10 选项 


加 在 “界面 设置 ”选项 卡 中 可 以 设置 拓扑 中 的 元 素 显示 效果 ， 比 如 是 否 显示 设备 
标签 和 型 号 、 是 否 显示 背景 图 等 ， 还 可 设置 “工作 区 域 大 小 ” 即 设置 工作 区 的 宽度 和 
长 度 。 

国 在 “CLI 设置 ”选项 卡 中 设置 命令 行 中 信息 保存 方式 。 当 选中 “记录 日 志 ” 时 ， 
设置 命令 行 的 显示 行 数 和 保存 位 置 。 当 命令 行 界面 内 容 行 数 超过 “显示 行 数 ” 中 的 设置 
值 时 ， 系 统 将 自动 保存 超过 行 数 的 内 容 到 “保存 路 径 ” 中 指定 的 位 置 。 

国 在 “字体 设置 ”选项 卡 中 可 以 设置 命令 行 界面 和 拓扑 描述 框 的 字体 、 字 体 颜 色 、 
背景 色 等 参数 。 

国 在 “服务 器 设置 ”选项 卡 中 可 以 设置 服务 器 端 参数 ， 详 细 信息 请 参考 帮助 文档 。 

国 在 “工具 设置 ”选项 卡 中 可 以 指定 “引用 工具 ”的 具体 路 径 。 

区 域 2 是 工具 栏 ， 提 供 常用 的 工具 《〈 见 表 1-1)， 如 新 建 拓扑 、 打 印 等 。 

表 1-1 工具 栏 常用 图 标 说 明 


调 色 板 ， 可 编辑 添加 各 种 图 形 
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( 续 表 ) 
缩小 
停止 设备 


选 定 工作 区 ， 便 于 移动 


显示 /隐藏 所 有 接口 名 称 


打开 拓扑 中 所 有 路 由 器 和 交换 机 的 命令 行 界面 


在 工具 栏 区 域 最 右边 有 4 个 按钮 ， 第 1 个 是 华为 论坛 的 链接 按钮 ， 点 击 后 可 进入 华 
为 官方 论坛 ， 进 行 各 种 提问 和 参与 讨论 ， 第 2 个 是 华为 官网 的 链接 按钮 ; 第 3 个 是 “ 设 
置 ”按钮 ， 可 进行 界面 的 设置 、 字 体 的 设置 等 ， 与 “工具 ”菜单 中 的 “选项 ”一 致 : 第 
4 个 是 “帮助 文档 ”按钮 ， 其 中 详细 介绍 了 当前 版 本 的 eNSP 支持 的 所 有 设备 特性 、 各 
种 功能 以 及 如 何 配置 服务 器 和 用 户 端 等 。 


区 域 3 是 网 络 设备 区 ， 提 供 设备 和 网 线 ， 如 图 1-11 所 示 。 每 种 设备 都 有 不 同型 


号 ， 比 


如 点 击 路 由 器 图 标 ， 设 备 型 号 区 将 提供 AR1220、AR2220 等 各 种 路 由 器 ， 供 选择 到 工作 区 。 
区 域 4 是 工作 区 ， 在 此 区 域 可 以 灵活 创建 网 络 拓扑 ， 如 图 1-12 所 示 。 





图 1-11 网 络 设备 选择 区 






AR3 


we GE 0/0/1 于 
GE 0/0/1 


GE 0/0/2 GE 0/0/0 













GE 0/0/1 
GE 0/0/1 GE 0/0/2 Ethernet 0/0/0 


LSWI SE LSW2 Boruar 


GE 0/0/2 GE 0/0/1 


Ethernet 0/0/] Ethernet 0/0/1 


一 一 一 一 - 
BC 


1-12 工作 区 
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区 域 5 是 设备 接口 区 ， 显 示 拓 扑 中 的 设备 和 设备 已 连接 的 接口 ， 可 以 通过 观察 指示 
灯 了 解 接口 运行 状态 ， 如 图 1-13 所 示 。 浅 灰色 表示 设备 未 启动 或 接口 处 于 物理 DOWN 
状态 ; 深 灰 色 表 示 设 备 已 启动 或 接口 处 于 物理 UP 状态 ， 黑 色 表示 接口 正在 采集 报 文 。 
在 处 于 物理 UP 状态 的 接口 名 上 单 击 鼠标 右键 ， 可 启动 /停止 接口 报 文采 集 。 

3. 网 络 设备 配置 

在 eNSP 中 ， 可 以 利用 图 形 化 界面 灵活 地 搭建 需要 的 拓扑 组 网 图 ， 其 步骤 如 下 。 

步骤 1: 选择 设备 。 主 界面 左 侧 为 可 供 选 择 的 网 络 设备 区 ， 将 需要 的 设备 直接 拖 至 
工作 区 。 每 台 设 备 带 有 默认 名 称 ， 通 过 单 击 可 以 对 其 进行 修改 。 还 可 以 使 用 工具 栏 中 的 
文本 按钮 和 调 色 板 按钮 在 拓扑 中 任意 位 置 添加 描述 或 图 形 标 识 ， 如 图 1-14 所 示 。 


: AAA we 


4 @ ARIICOM: 2000] 


4 ® AR2ICOM: 2001] 


4 全 AR3[COM: 2002] 


国 GEOOATEA 
4 全 CLIENTI 


4 CLIENT2 GE 0/0/0 
IIS 


Ethernet 0/0/1 


人 @ CLIENT3 
4 二 Lswi[COM: 2003] 
‘@ GEO/0 | 
24D LSW2ICOM:2004] 一 
人 一 





图 1-13 设备 接口 区 1-14 选择 设备 搭建 拓扑 


步骤 2: 配置 设备 。 在 拓扑 中 的 设备 图 标 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 设 置 ”命令 ， 打 开设 备 接口 配置 界面 。 

在 “视图 ”选项 卡 中 ， 可 以 查看 设备 面板 及 可 供 使 用 的 接口 卡 ， 如 图 1-15 所 示 。 如 
需 为 设备 增加 接口 卡 ， 可 在 “eNSP 支持 的 接口 卡 ” 区 域 选 择 合适 的 接口 卡 ， 直 接 拖 至 
上 方 的 设备 面板 上 相应 模 位 即 可 ; 如 需 删除 某 个 接口 卡 ， 直 接 将 设备 面板 上 的 接口 卡 拖 
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回 “eNSP 支持 的 接口 卡 ” 区 域 即 可 。 注 意 ， 只 有 在 设备 电源 关闭 的 情况 下 才能 进行 增 
加 或 删除 接口 卡 的 操作 。 


ARZ220 








1 访 口 -GE COMBO WAN 接口 天。 





4GEW-T EIGE 
TT ae 到 


ee ~- wm 


图 1-15 设备 配置 界面 





在 “配置 ”选项 卡 中 ， 可 以 设置 设备 的 串口 号 ， 串 口号 范围 在 2000~65535， 默 认 情 
况 下 从 起 始 数 字 2000 开始 使 用 。 可 以 自行 更 改 串 口号 并 单 击 “ 应 用 ”按钮 生效 ， 如 图 
1-16 所 示 。 








图 1-16 配置 设备 
在 模拟 PC 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “设置 ”命令 ， 打 开设 置 的 
对 话 框 。 在 “基础 配置 ”选项 卡 中 配置 设备 的 基础 参数 ， 如 IP 地 址 、 子 网 掩 码 和 MAC 
地 址 等 ， 如 图 1-17 所 示 。 
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ECLIENTT Pe 到 
基础 也 置 命令 行 租 播 UDP 发 包工 具 

主机 名 : 客 己 调 
MAC 地 址 : E+.98-cF-on-00 

IPv4 配置 
G 静态 OO DHCP 加 自 服务 器 夫 址 
二 地 址 101 时 DNS1 0 0 0 0 
子 网 掩 玛 [255 .255 ,255 .0 DNSZ 0 0 0 0 
网 关 : SG + Ba 贡 

ipPv6 配置 
他 种 兰 © DHCPv6 
IPv6 地 址 FF 
前 娃 长 度 [EE 





图 1-17 PC 配置 界面 


在 “命令 行 ” 选 项 卡 中 可 以 输入 ping 命令 ， 测 试 连通 性 ， 如 图 1-18 所 示 。 


CCLENTO PE add i lS bX 





图 1-18 ”PC 命令 行 


步骤 3: 设备 连接 。 根 据 设 备 接口 的 不 同 可 以 灵活 选择 线 缆 的 类 型 。 当 线 缆 仅 一 端 
连接 了 设备 ， 而 此 时 希望 取消 连接 时 ， 在 工作 区 单 击 鼠标 右键 或 者 按 <Esc> 键 即 可 。 选 
择 “Auto” 可 以 自动 识别 接口 卡 选 择 相应 线 绕 。 常 见 的 如 “Copper” 为 双 绞 线 ,， “Serial” 
为 串口 线 ， 如 图 1-19 所 示 。 
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步骤 4: 配置 导入 。 在 设备 未 启动 的 状态 下 ， 在 设备 上 单 击 鼠 标 右键 ， 在 快捷 菜单 中 选 
择 “ 导 入 设备 配置 ”命令 ， 可 以 选择 设备 配置 文件 《〈.cfg 或 者 .zip 格式 ) 并 导入 到 设备 中 。 

步骤 5: 设备 启动 。 选 中 需要 启动 的 设备 后 ， 可 以 通过 单 击 工具 栏 中 的 “启动 设备 ” 
按钮 或 者 选择 该 设备 的 右键 菜单 的 “启动 ”命令 来 启动 设备 ， 如 图 1-20 所 示 。 启 动 后 ， 
双击 设备 图 标 ， 通 过 弹出 的 CLI 命令 行 界面 进行 配置 。 

步骤 6: 设备 和 拓扑 保存 。 完 成 配置 后 可 以 单 击 工具 栏 中 的 “保存 ”按钮 来 保存 拓扑 
图 ， 并 导出 设备 的 配置 文件 。 在 设备 上 单 击 鼠 标 右键 ， 在 快捷 菜单 中 选择 “导出 设备 配置 ” 
命令 ， 如 图 1-21 所 示 ， 输 入 设备 配置 文件 的 文件 名 ， 并 将 设备 配置 信息 导出 为 .cfg 文件 。 





Auto Copper -一 
| Pa 
对 齐 到 多 格 
Serial POS 
| 
El ATM 
图 1-19 设备 连接 线 缆 图 1-20 导入 设备 配置 图 1-21 导出 设备 配置 


4， 扩 展 功 能 介绍 
(1) 样 例 加 载 。 在 工具 栏 中 单 击 “ 打 开 ” 按 钮 ， 可 弹出 eNSP 附带 的 验证 各 种 网 络 
协议 特性 的 典型 实验 案例 。 打 开 样 例 可 以 看 到 清晰 的 拓扑 组 网 ， 如 图 1-22 所 示 。 
a | 
ISP 1 | ISP 2 
loopback0:10.0.5.5/32 loopback0:10.0.3.3/32 | 
loopback1:10.1.5.5/24 loopback0:10.1.3.3/24 loopback0:10.0.2.2/24 


10.0.35.0/24 pe 10.0.23.0/24 
S770 
1 


AS 100 so AS 200 | 















AR2 

















10.0.42.0/24 10.015 .0/24 10.0.12.0/24 
AS 64512 4 suazon 





| 10.0.114.0/24 10.0.111.0/24 

| Sa 
GE 0/0/4 RoI GE 0/0/1 

| AR4 LSWI ARI 

| loopback0:10.0.4.4/32 loopback0:10.0.11.11/32 loopback0:10.0.1.1/32 
loopback1:10.1.11.11/24 








图 1-22 样 例 拓扑 
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每 个 样 例 都 包括 了 具体 的 实验 配置 ， 如 同一 个 配置 好 的 真实 的 网 络 环境 。 当 运行 拓扑 图 
中 所 有 的 设备 后 ， 设 备 会 自动 加 载 配置 ， 用 户 便 可 以 在 这 套 模拟 环境 中 学 习 和 验证 理论 知识 。 

(2) 数据 抓 包 。 设 备 运行 时 , 在 设备 接口 处 单 击 鼠 标 右键 , 在 快捷 菜单 中 可 选择 “ 数 
据 抓 包 ” 命 令 。 通 过 抓 包 ， 用 户 可 直观 感受 到 数据 包 的 流动 ， 更 深刻 地 理解 网 络 协 议 的 
原理 。 抓 包 的 相关 操作 在 后 续 实验 中 将 详细 介绍 。 

(3) 支持 与 真实 PC 进行 桥接 。 通 过 虚拟 设备 接口 与 真实 网 卡 的 绑 定 ， 实 现 虚 拟 设 
备 与 真实 设备 的 对 接 。 后 续 将 有 专门 的 实验 介绍 ， 或 者 请 自行 参看 帮助 文档 。 

(4) 支持 使 用 第 三 方 软件 登录 eNSP 模拟 设备 。 在 eNSP 软件 的 接口 视图 中 ， 设 备 名 称 
后 面 会 显示 一 个 串口 号 ， 如 图 1-23 所 示 。 该 端口 号 即使 用 第 三 方 工具 时 需要 设置 的 串口 号 。 








4 六 AR1[COM: 2000] 


图 1-23 设备 串口 号 
1.2 熟悉 VRP 基本 操作 


原理 概述 


VRP (Versatile Routing Platform， 通 用 路 由 平台 ) 是 华为 公司 数据 通信 产品 的 通用 
网 络 操作 系统 平台 ， 拥 有 一 致 的 网 络 界面 、 用 户 界面 和 管理 界面 。 在 VRP 操作 系统 中 ， 
用 户 通过 命令 行 对 设备 下 发 各 种 命令 来 实现 对 设备 的 配置 与 日 常 维护 操作 。 

用 户 登 录 到 路 由 器 后 出 现 命令 行 提 示 符 后 ， 即 进入 命令 行 接口 CLI (Command Line 
Iterface)。 命 令 行 接口 是 用 户 与 路 由 器 进行 交互 的 常用 工具 。 

当 用 户 输入 命令 时 ， 如 果 不 记得 此 命令 的 关键 字 或 参数 ， 可 以 使 用 命令 行 的 帮助 获 
取 全 部 或 部 分 关键 字 和 参数 的 提示 。 用 户 也 可 以 通过 使 用 系统 快捷 键 完成 对 应 命令 的 输 
入 ， 简 化 操作 。 在 首次 登录 设备 时 ， 用 户 可 根据 需要 完成 设备 的 基本 配置 ， 如 设备 名 称 
的 修改 、 时 钟 的 配置 以 及 标题 文本 的 设置 等 。 
实验 目的 

。 熟悉 VRP 的 基本 操作 

。 掌握 命令 行 视 图 的 切换 

。 掌握 命令 行 帮助 和 快捷 键 的 使 用 

。 掌握 修改 设备 名 称 和 设置 时 钟 的 方法 

。 掌握 设置 标题 信息 的 方法 

。 掌握 查看 路 由 器 基本 信息 的 方法 
实验 内 容 


本 实验 模拟 用 户 首次 使 用 VRP 操作 系统 的 过 程 。 在 登录 路 由 器 后 使 用 命令 行 来 配置 设 
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备 ， 进 行 命令 行 视图 的 切换 、 命 令 行 帮 助 和 快捷 键 的 使 用 ， 并 完成 设备 的 基本 配置 ， 包 括 修 
改 路 由 器 名 称 、 配 置 路 由 器 时 钟 、 设 置 标题 文本 以 及 使 用 命令 行 查看 路 由 器 基本 信息 等 。 
实验 拓扑 

VRP 基本 操作 的 拓扑 如 图 1-24 所 示 。 


民 


RI1 
图 1-24 熟悉 VRP 基本 操作 拓扑 
实验 步骤 


1. 命令 视图 切换 
启动 设备 ， 登 录 设 备 成 功 后 即 进入 用 户 视图 ， 如 图 1-25 所 示 。 








<Huawei> 





1-25 ”设备 用 户 视图 

在 用 户 视 图 下 只 能 使 用 参观 和 监控 级 命令 ， 如 使 用 display version 命令 显示 系统 软 
件 版 本 及 硬件 等 信息 。 

<Huawei>display version 

Huawei Versatile Routing Platform Software 

VRP (R) software, Version 5.130 (AR2200 V200R003C00) 

Copyright (C) 2011-2012 HUAWEITECHCO.,ITD 一 一 一 一 

Huawei AR2220 Routeruptime is 0 week 0 day 0 hour 1 minute : 

BKP 0 version information: 

从 以 上 内 容 中 可 以 观察 到 VRP 操作 系统 的 版 本 、 设 备 的 型 号 和 启动 时 间 等 信息 。 

在 用 户 视图 下 使 用 system-view 命令 可 以 切换 到 系统 视图 。 在 系统 视图 下 可 以 配置 
接口 、 协 议 等 ， 使 用 quit 命令 又 可 以 切换 回 用 户 视图 。 
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<Huawei>system-view 

Enter System View, return user view with Ctrl+Z. 

[Huawei]quit 

<Huawei> 

在 系统 视图 下 使 用 相应 命令 可 进入 其 他 视图 ， 如 使 用 interface 命令 进入 接口 视图 。 
在 接口 视图 干 可 以 使 用 ip address 命令 配置 接口 IP 地 址 、 子 网 掩 码 。 

为 路 由 器 的 GE 0/0/0 接口 配置 卫 地 址 时 可 以 使 用 子 网 掩 码 长 度 ， 也 可 以 使 用 完整 
的 子 网 掩 码 ， 如 掩 码 为 255.255.255.0， 可 以 使 用 24 替代 。 

<Huawei>system-view 

Enter System view, return user view with Ctrl+Z 


[Huaweilinterface GigabitEthernet 0/0/0 
[Huawei-GigabitEthernet0/0/0Jip address 10.1.1.1 24 


配置 完成 后 ， 可 以 使 用 return 命令 直接 退回 到 用 户 视图 。 
[Huawei-GigabitEthernet0/0/0]return 
<Huawei> 





二 ton， 人 可 以 使 用 户 从 任意 非 用 户 视图 退回 到 用 户 视图 , 也 可 以 用 组 合 快捷 刍 
<Ctrl+Z> 完 成 。 

2. 命令 行 帮助 

如 果 用 户 忘 记 命 令 的 参数 或 关键 字 ， 可 使 用 命令 行 在 线 帮助 。 命 令 行 在 线 帮助 分 为 
完全 帮助 和 部 分 帮助 。 

(1) 完全 帮助 : 在 任意 命令 视图 下 ， 输 入 “? ”获取 该 命令 视图 下 所 有 的 命令 及 其 
简单 描述 。 
如 在 系统 视图 下 ， 输 入 “? ”获取 该 命令 视图 下 所 有 的 命令 及 其 简单 描述 。 





[Huawei]? 

System view commands: 
Aaa <Group> aaa command group 
aaa-authen-bypass ， Set remote authentication bypass 
aaa-author-bypass Set remote authorization bypass 
aaa-author-cmd-bypass Set remote command authorization bypass 
acceSS-USeT User access 
acl Specify ACL configuration information 
alarm Alarm 


也 可 以 输入 一 个 命令 ， 后 接 以 空格 分 隔 的 “? ” 列 出 全 部 关键 字 或 参数 及 其 简单 描述 。 
如 在 系统 视图 下 ， 列 出 interface 命令 参数 及 其 简单 描述 。 


[Huaweilinterface ? 
Bridge-if Bridge-if interfac。 
Cellular Cellular interface 
Dialer Dialer interface 
Eth-Trunk Ethernet-Trunk interface 
GigabitEthernet GigabitEthernet interface 


(2) 部 分 帮助 : 输入 一 字符 串 ， 其 后 紧 接 “? ” 列 出 以 该 字符 串 开头 的 所 有 关键 字 。 
如 在 系统 视图 下 列 出 以 “rou” 字 符 串 开头 的 所 有 命令 及 其 简单 描述 。 


[Huaweijrou? 
Route Routing Module 
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route-policy Route-policy 
route-policy-change Specify route policy change parameter 
router Configure router information 

3. 快捷 键 使 用 


命令 行 接口 提供 了 基本 的 命令 编辑 功能 , 支持 多 行 编辑 , 每 条 命令 的 最 大 长 度 为 256 
个 字符 。 各 功能 键 详细 描述 如 下 : 

国 退 格 键 <BackSpace> 表 示 删 除 光 标 位 置 的 前 一 个 字符 ; 

国 左 光标 键 < 一 > 或 <Ctrl+B> 表 示 光 标 向 左 移动 一 个 字符 位 置 ; 

国 右 光 标 键 < 一 > 或 <Ctrl+F> 表 示 光 标 向 右 移动 一 个 字符 位 置 ; 

国 删除 键 <Delete> 表 示 删 除 光 标 位 置 字符 ; 

加 上 下 光标 键 < 人 >、< |} > 表示 显示 历史 命令 ; 

加 当 用 户 输 入 不 完整 的 关键 字 后 按 下 <Tab> 键 ， 系 统 自动 执行 部 分 帮助 ， 将 命令 补 
全 。 比 如 输入 “dis” 后 ， 按 <Tab> 键 可 以 将 命令 补 全 为 “display”。 

<Rl>dis 

<Rl>display 

可 以 通过 display hotkey 命令 来 查看 已 定义 、 未 定义 和 系统 保留 的 快捷 键 的 情况 。 

4， 修 改 路 由 器 名 称 

当 网 络 上 有 多 个 设备 需要 管理 时 , 用 户 可 以 为 每 个 设备 设置 特定 的 名 称 , 以 便于 管理 和 识别 。 

在 系统 视图 下 ， 使 用 sysname 命令 修改 当前 路 由 器 名 称 ， 如 更 改 当 前 路 由 器 的 系统 
名 称 为 R1。 

[Huaweilsysname R1 

RH] 

5. 设置 路 由 器 时 钟 

为 了 保证 网 络 中 的 设备 有 准确 的 时 钟 信号 ， 用 户 需要 准确 设置 设备 的 系统 时 钟 。 

clock datetime 命令 用 于 设置 当前 时 间 和 日 期 ，clock timezone 命令 用 于 设置 所 在 的 时 区 。 

例如 : 在 用 户 视 图 下 ， 使 用 clock datetime 命令 修改 系统 日 期 和 时 间 为 2017 年 3 月 
21 日 11 时 23 分 24 秒 。 

<RI>clock datetime 11:23:24 2017-03-21 

例如 : 在 用 户 视图 下 ， 使 用 clock timezone 命令 ， 设置 所 在 的 时 区 为 北京 。 

<R1>clock timezone BJ add 08:00:00 


系统 默认 是 伦敦 时 间 ， 而 北京 处 于 +8 时 区 ， 时 间 偏 移 量 增加 了 8， 因此 ， 在 配置 

时 需要 加 上 偏 移 量 8， 才 能 得 到 预期 的 北京 时 区 。 为 保证 设备 时 钟 的 准确 性 ， 应 先 对 系 
统 时 区 予以 配置 ， 再 对 系统 日 期 和 时 间 进 行 配置 。 

6. 设置 标题 信息 

如 果 需 要 对 登录 路 由 器 的 用 户 提供 警示 或 说 明 信 息 ， 可 以 设置 登录 时 或 登录 成 功 后 
的 标题 信息 。 

使 用 header login 命令 ,可 设置 登录 时 的 标题 文本 为 hello; 使 用 header shell 命令 ， 
可 设置 登录 成 功 后 的 标题 文本 信息 为 “Welcome to Huawei certification lab”。 

[Rljheaderlogin information "hello" 

[R1]header shell information "Welcome to Huawei certification lab" 
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其 中 ，login 参数 为 用 户 在 登录 路 由 器 认证 过 程 中 激活 终端 连接 时 显示 的 标题 信息 ， 
是 用 户 在 连接 到 路 由 器 并 进行 登录 验证 以 及 开始 配置 时 ， 系 统 所 显示 的 一 段 提示 信息 ， 
当 需 要 为 用 户 登 录 提 供 明确 的 提示 信息 时 ， 可 以 使 用 此 配置 。Shell 参数 为 当 用 户 成 功 登 
录 到 路 由 器 上 ， 已 经 建立 了 会 话 时 显示 的 标题 信息 。 

配置 完成 后 ， 尝 试 退 出 路 由 器 命令 行 界面 重新 登录 ， 即 可 观察 到 欢迎 信息 。 

[Rllquit 

<RI>quit 


Configuration conisole exit, please retry to log on 
Password; 

Welcome to Huawei certification lab 

<RI> 






通常 情况 下 ， 登 录 标 语 信 息 用 于 警告 非法 登录 或 者 说 明 信 息 。 
7. 查看 路 由 器 基本 信息 

使 用 display 系列 命令 可 查看 路 由 器 基本 信息 或 运行 状态 。 

使 用 display version 命令 查看 路 由 器 信息 。 


<R1>display version 

Huawei Versatile Routing Platform Software 

VRP (R) software, Version 5.130 (AR2200 V200R003C00) 
Copyright (C) 2011-2012 HUAWEI TECH CO., LTD 

Huawei AR2220 Router uptime is 0 week, 0 day, 0 hour, 17 minutes 
BKP 0 version information: 


本 全 


可 以 观察 到 VRP 操作 系统 的 版 本 、 设 备 的 型 号 、 启 动 时 间 等 信息 。 
使 用 display current-configuration 命令 查看 路 由 器 当前 配置 。 
<Rl>display current-configuration 
[V200R003C00] 
# 
sysname R1 
header shell information "Welcome to Huawei certification lab" 
# 
snmp-agent local-engineid 800007DB03000000000000 
snmp-agent 
基 = 
clock timezone BJ add 08:00:00 
clock daylight-saving-time Day Light Saving Time repeating 12:32 9-1 12:32 11-23 00:00 2005 2005 


Henn 


Return 

可 以 观察 到 所 有 路 由 器 的 已 配置 信息 。 

使 用 display interface GigabitEthernet 0/0/0 命令 查看 路 由 器 GE 0/0/0 接口 的 状态 信息 。 
[R1]display interface GigabitEthernet 0/0/0 

GigabitEthermet0/0/0 current state : DOWN 

Line protocol current state ; DOWN 

Description:HUAWEI AR Series, GigabitEthernet0/0/0 Interface 

Route Port,The Maximum Transmit Unit is 1500 
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可 以 观察 到 该 接口 rr 接口 下 地 址 以 及 其 他 的 统计 信息 ， 


1.3 熟悉 常用 的 IP 相关 命令 


原理 概述 


华为 设备 支持 多 种 配置 方式 ， 包 括 Web 界面 管理 等 。 但 作为 一 名 网 络 工程 师 ， 必 须 熟 悉 使 
用 命令 行 的 方式 进行 设备 管理 。 在 工作 中 ,对 路 由 器 和 交换 机 最 常用 的 操作 命令 就 是 全 相关 命 
令 ， 如 配置 主机 名 、 耳 地 址 、 测 试 人 数据 包 连 通 性 等 。 这 些 命令 是 基本 的 配置 和 测试 命令 。 


实验 目的 


。 掌握 路 由 器 命名 的 方法 

。 掌握 配置 路 由 器 人 P 地 址 方法 
。 掌握 测试 他 地 址 连通 性 的 方法 
。 掌握 查看 设备 配置 的 方法 

。 掌握 抓 包 的 方法 


实验 内 容 


本 实验 模拟 简单 的 企业 网 络 场景 ， 某 公司 购买 了 新 的 路 由 器 和 交换 机 。 交 换 机 S1 
连接 客服 部 PC-1，S2 连接 市 场 部 PC-2， 路 由 器 R1 连接 S1 和 S2 两 台 交换 机 。 网 络 管 
理 员 需 要 首先 熟悉 设备 的 使 用 ， 包 括 基础 的 了 P 配置 和 查看 命令 。 


实验 拓扑 


常用 的 下 相关 命令 的 拓扑 如 图 1-26 所 示 。 


S1 R1 S2 
GE 0/0/2 GE 0/0/1 


GE 0/0/0 Ethernet 0/0/1 







GE 0/0/1 Ethernet 0/0/2 


Ethernet 0/0/1 Ethemet 0/0/1 


PC-1 PC-2 


图 1-26 ”熟悉 常用 的 卫 相关 命令 拓扑 
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实验 编 址 


实验 编 址 见 表 1-2。 
表 12 实验 编 直 


Ethernet 0/0/1 10.0.1.1 255.255.255.0 


GE 0/0/0 10.0.1.254 255.255.255.0 
R1 (AR2220) 
GE 0/0/1 10.0.2.254 255.255.255.0 





Ethernet 0/0/1 10.0.2.1 255.255.255.0 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 ， 使 用 图 形 化 界面 配置 PC 的 卫 地 址 ， 以 客服 部 PC-1 为 例 ， 如 图 1-27 所 示 。 











图 1-27 PC-1 配置 界面 
PC-1 设置 完成 后 ， 继 续 设 置 市 场 部 PC-2， 如 图 1-28 所 示 。 
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1-28 PC-2 配置 界面 


配置 路 由 器 的 主机 名 ， 打 开 R1 的 命令 行 界面 ， 即 进入 用 户 视图 。 在 用 户 视图 下 ， 
nn 此 时 屏幕 上 显示 : 


路 由 器 主机 名 为 默认 的 主机 名 Huawei。 要 更 改 主机 名 ， 必 须 使 用 进入 系统 视图 模式 。 在 系 
统 视图 下 ，system-view 命令 用 户 可 以 配置 系统 参数 以 及 通过 该 视图 进入 其 他 的 功能 配置 视图 。 

<Huawei>system-view 

[Huawei] 

这 时 图 标 由 <Huawei> 变 成 了 [Huaweil]， 表 示 进 入 了 系统 视图 模式 。 


在 系统 视图 下 ， 使 用 sysname 命令 修改 设备 主机 名 为 R1。 


可 以 观察 到 ， 主机 名 由 原来 的 [Huawei] 变 成 了 [R1], 表示 主机 名 修改 成 功 。 使 用 quit 
命令 退出 当前 模式 。 


[RHquit 

此 时 [RH] 标 志 已 经 变 成 <R1>， 表 明 已 经 成 功 退 回 到 用 户 视 图 。 在 用 户 视 图 下 使 用 
Save 命令 保存 当前 配置 。 

<Rl>save 

这 时 会 提示 是 否 继续 保存 ， 输 入 “y” 确 认 保 存 动 作 。 


<R1 要 

a 
Are you sure to continue? (y/n)[n]:y 

Twill hspov era inios te oienan ls Please wait........ 

ation file had been saved successfully 

Note: The configuration file will take effect after being activated 
出 现 以 上 信息 表示 保存 成 功 。 
2. 配置 路 由 器 接口 IP 地 址 
从 系统 视图 进入 接口 视图 ， 在 该 视图 下 配置 接口 相关 的 物理 属性 、 链 路 层 特性 及 IP 


地 址 等 重要 参数 。 使 用 interface 命令 进入 路 由 器 相应 的 接口 视图 GE 0/0/0。 
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[RlJinterface GigabitEthernet 0/0/0 
在 路 由 器 的 接口 视图 下 配置 路 由 器 接口 IP 地 址 和 掩 码 。 注意 ,华为 设备 上 的 物理 接 
口 默 认 都 处 于 开启 状 态 。 


[R1-GigabitEthermmet0/0/0lip address 10.0.1.254 255.255.255.0 
配置 完成 后 ， 使 用 display ip interface brief 命令 查看 接口 与 IP 相关 摘要 信息 。 
[R1-GigabitEthernet0/0/0]display ip interface brief 

*down: administratively down 

Adown: standby 

(1): loopback 

(s): spoofing 

The number of interface that is UP in Physical is 3 

The number of interface that is DOWN in Physical is 1 

The number of interface that is UP in Protocol is 2 

The number of interface that is DOWN in Protocol is 2 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 . 10.0.1.254/24 cc Wp up 

GigabitEthernet0/0/1 unassigned up down 
GigabitEthernetO/0/2 Unassigned down down 
NULLO unassigned up up(s) 


可 以 观察 到 ， 路 由 器 接口 GE 0/0/0 的 IP 地 址 已 经 配置 完成 ,“Physical” 为 UP， 即 
接口 的 物理 状态 处 于 正常 启动 的 状态 ;“Protocol” 为 UP, 即 接口 的 链 路 协议 状态 处 于 正 


部 常 启 动 的 状态 o 

同 理 配 置 路 由 器 GE 0/0/1 的 IP 地 址 。 如 果 在 配置 过 程 中 对 命令 非常 熟悉 ， 可 以 采 
用 简写 的 方式 配置 。 

<R1>system-view 

[R1Jint g0/0/1 


[R1-GigabitEthernet0/0/1]Jip add 10.0.2.254 24 
注意 ， 即 便 是 简写 ， 也 要 保证 所 输入 的 命令 关键 字 是 唯一 的 ， 否 则 不 会 成 功 。 
如 果 坊 记 命令 , 可 以 输入 “? ”查看 相关 命令 。 如果 输 入 命令 首部 分 , 可 以 使 用 <Tab> 
键 选择 性 补 齐 命令 。 


[Huaweilinter? 
interface Specify the interface configuration view 
[Huaweijinter 
[Huaweilinterface 
配置 完成 后 ， 再 次 确认 接口 与 IP 相关 摘要 信息 。 
<Rl>display ip interface brief 
*down: administratively down 


The number of interface that is UP in Physical is 3 
The number of interface that is DOWN in Physical is 1 
The number of interface that is UP in Protocol is 3 
The number of interface that is DOWN in Protocol is 1 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.1.254/24 up up 
igabi 1 10.0.2.254/24 up up 
GigabitEthernet0/0/2 unassigned down down 
NULLO unassigned up{s) 


可 以 观察 到 ， 路 由 器 GE 0/0/0 与 GE 0/0/1 的 接口 下 地 址 已 条 配置 完成 。 物 理 接 口 
工作 正常 ， 接 口 的 链 路 协议 状态 处 于 正常 启动 的 状态 。 
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3， 查 看 路 由 器 配置 信息 

经 过 以 上 步骤 的 配置 ， 路 由 器 接口 的 IP 地 址 已 经 配置 完成 ， 可 以 使 用 display ip 
routing-table 命令 查看 IPv4 路 由 表 的 信息 。 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 13 Routes : 13 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD 10.77.164.1 Ethernet4/0/0 
10.77.164.0/24 Direct 0 0 D 10.77-164,.22. Ethernet4/0/0 
10.77.164.22/32 Direct 0 0 D 127.0.0.1 Ethernet4/0/0 
10.77.164.255/32 Direct 0 0 D 127.0.0.1 Ethemet4/0/0 
127:0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.0.0/24 Direct 0 0 D 192.168.0.25 GigabitEthernet0/0/2 
192.168.0.25/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/2 
192.168.0.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.253.0/24 Direct 0 0 D 192.168.253.1 Ethernet4/0/1 
192.168.253.1/32 Direct 0 0 D 127.0.0.1 Ethernet4/0/1 
192.168.253.255/32 Direct 0 0 D 127.0.0.1 Ethernet4/0/1 


可 以 观察 到 ,路 由 器 Rl 在 GE 0/0/0 接 口上 直 连 了 一 个 10.0.1.0/24 的 网 段 , 在 GE 0/0/1 
接口 上 直 连 了 一 个 10.0.2.0/24 的 网 段 。 
其 中 ,“Route Flags ”为 路 由 标记 ,，“R” 表 示 该 路 由 是 迭代 路 由 ,“D” 表 示 该 路 由 
下 发 到 FIB 表 。“Routing Tables: Public” 表 示 此 路 由 表 是 全 局 路 由 表 ， 如 果 是 VPN 实 
例 路 由 表 ， 则 显示 VPN 实例 的 名 称 ， 如 Routing Tables: ABC.“Destinations” 表 示 目 的 
网 络 /主机 的 总 数 。“Routes” 表 示 路 由 的 总 数 。“Destination/Mask” 表 示 目 的 网 络 /主机 的 
地 址 和 掩 码 长 度 ,，“Proto” 表 示 接 收 此 路 由 的 路 由 协议 ,，“Direct” 表 示 直 连 路 由 ,“Pre” 
表示 此 路 由 的 优先 级 ,“Cost” 表示 此 路 由 的 路 由 开销 值 。“NextHop” 表示 此 路 由 的 下 一 
跳 地 址 ,“Interface” 表 示 此 路 由 下 一 跳 的 出 接口 。 使 用 Ping 命令 测试 路 由 器 R1 与 PC 
间 的 连通 性 。 下 面 以 测试 去 往 PC-1 的 连通 性 为 例 说 明 。 
<R1>ping 10.0.1.1 
PING 10.0.1.1: 56 data bytes, press CTRL _C to break 
Reply from 10.0.1.1: bytes=56 Sequence=] ttl=128 time=200 ms 
Reply from 10.0.1.1; bytes=56 Sequence=2 ttl=128 time=70 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=128 time=40 ms 
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=128 time=] ms 
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=128 time=10 ms 
--- 10.0.1.1 ping statistics -~- 
$5 packet(s) transmitted 家 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/64/200 ms 
若 显 示 上 述 结 果 ， 则 表明 测试 连通 性 正常 。 
<Rl>ping 10.0.1.1 


PING 10.0.1.1: 56 data bytes, press CTRL_C to break 
Request time out 
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若 显示 上 述 结果 ， 则 表示 连通 性 测试 失败 ， 即 R1 与 PC-1 连通 性 异常 。 

直 连 网 段 连 通 性 测试 完毕 后 , 测试 非 直 连 设备 的 连通 性 , 即 PC-1 与 PC-2 的 连通 性 。 
双击 设备 打开 配置 界面 ， 单 击 “ 命 令 行 ”选项 卡 。 此 命令 行 如 同 PC 的 DOS 窗口 一 样 ， 
可 执行 基本 命令 ， 如 图 1-29 所 示 。 


Welcome to Use PC Simulator! 


PC> 


1-29 


PC-1 配置 界面 
测试 PC-1 到 PC-2 间 的 连通 性 。 









可 以 观察 到 PC-1 与 PC-2 之 间 能 正常 通信 。 

4. 使 用 抓 包 工具 

以 抓 取 R1 上 GE 0/0/0 接 口 的 数据 包 为 例 ,在 Rl 与 $1 的 直 连 链 路 上 ,在 接口 GE 0/0/0 
上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “开始 抓 包 ” 命 令 ， 如 图 1-30 所 示 。 


NA _ 






Ethernet 0/0/1 


GE 0/0/1 Ethermet 0/0/2 


图 1-30 通过 右键 菜单 选择 抓 包 
这 时 会 显示 出 解 包 的 结果 ， 如 图 1-31 所 示 。 


Be El Yew fo Vegas soiyoe Beisics Telephory Iool Hop 
| 国 国 | Qaagmil | 
me ~ i 

No Tne Sowce 
10.000CHUua 




















.219 HunweT Te 94Spann1ng-trSTP MST-。 68 c:1f:cc:94:0c: =0 = 
34.4070HuaweiTe_94spanning-trSTP MST. Root 32768/0/4c:lf:cc:94:0c:7c Cost = 0 port = Ox8002 
46.6570HuaweiTe_94Spanning-trSTP MST. Root = 32768/0/4c:1f:cc:94:0c:7¢ Cost = 0 Port = Ox8002 
58.8440HuaweiTe_94Spanning~trSTP MST. Root = 32768/0/4c:1lf:cc:94:0c:7c cost = 0 Port = 0x8002 






ogical-Link control 
mspanning Tree Protocol 


图 1-31 解 包 结果 


双击 数据 包 可 查看 详细 的 数据 包 内 容 ， 如 图 1-32 所 示 。 

如 果 不 需 要 继续 抓 包 ， 可 在 接口 的 快捷 菜单 中 选择 “停止 抓 包 ” 命 令 。 

用 户 还 可 以 采取 另 一 种 方式 来 抓 包 ， 效 果 相 同 。 

单 击 界面 上 方 工具 栏 中 的 “数据 抓 包 ”按钮 ， 这 时 会 出 现 当前 可 抓 取 的 接口 列表 ， 
如 图 1-33 所 示 。 





“Frame on wire (952 bits), byres captur L 《952 bits) 
= ITEEE 802.3 ER 这 a 
”Destination: spenning-tree- (for-bridges) 00 (01: 80: c2: 00:00: 00) 
s Source: HuaweiTe_94:0c:7c (4c:1f:cc:94:0c:7c) 
Length: 105 
sLogical=Eink control 
DSAP: Spanning Tree BPDU (Ox42) 
IG Bit: Individual1 
SSAP: Spanning Tree 8PDU (Ox42) 
CR Bit: Command 
st field: U func=UI (Ox03) 


Janning Tree 






Id er: Spanning Tree Protoco 

Protoco1 Version Tdentifier: Mulitiple Spanning Tree (3) 

BPDU Type: Rapid/Multiple spanning Tree (0x02) 
"BPDU flags: Ox7c (Agreement, Forwarding, Learning, Port Role: Designated) 
”Root Identifier: 32768 / 0 / 4c:1f:cc:94:0c:7c 

Root Path cost: 0 
mwBridge Identifier: 32768 / 0 / 4c:lf:cc:94:0c:7c 

Port identifier: 0x8002 

Message Age: 0 


Forward Delay: 15 
Version 1 Length: 0 
Version 3 Length: 64 
"MST Extension 


图 1-32 数据 包 详 细 内 容 
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图 1-33 工具 栏 选 择 抓 包 


以 抓 取 R1 上 GE 0/0/0 接口 的 数据 包 为 例 ， 在 “选择 设备 ” 栏 中 选择 “R1”， 在 “ 选 
择 接 口 ” 栏 中 选择 “GE 0/0/0”， 然 后 单 击 “ 开 始 抓 包 ” 按 钮 ， 如 图 1-34 所 示 。 





e GE000 
® GE00/ 











图 1-34 抓 包 设置 界面 


这 时 会 显示 出 如 图 1-31 所 示 的 解 包 结果 。 同 样 双击 数据 包 查 看 详细 的 数据 包 内 容 。 
如 图 1-35 所 示 。 





Teo eter ee pt ; 
| est tnat Ton spanning-tree— se bridges)_0 00 人 re 80:c2:00: rp Eo 
# Source: HuaweiTe_94:0c:7c (4c:1lf:cc:94:0c:7c) 


Length: 105 

stLogical-Link control 
DSAP: Spanning Tree Cr (Ox42) 
IG Bit: Individual 
SSAP: Spanning Tree BPDU (Ox42) 
CR Bit: Command 

s Control fie1d: U， nce (0x03) 






protocol Id RE jer: Spanning Tree Protocol (0x0000. 

Protocol] version Identifier: Multiple spanning Tree (3) 

BPDU Type: Rapid/Multiple Spanning Tree (0x02) 

hiBPDU flags: Ox7c (Agreement, Forwarding, Learning, Port Role: Designated) 
sRoot Identifier: 32768 / 0 / 4c:if:cc:94:0c:7c 

Root Path Cost: 0 

“Bridge Identifier: 32768 / 0 / 4c:1f:cc:94:0c:7c 

Port identifier: Ox8002 


Forward Delay: 15 
Version 1 Length: 0 
Version 3 Length: 64 
sMST Extension 


图 1-35 数据 包 详细 内 容 
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如 果 不 需 要 继续 抓 包 ， 单 击 “ 停 止 抓 包 ” 按 钮 即 可 。 
思考 


管理 员 要 经 常 在 路 由 器 上 使 用 display ip interface brief 命令 查看 接口 状态 ， 但 该 命 
令 若 完整 输入 则 较 长 ， 思 考 如 何 使 用 最 简化 且 准 确 的 方式 输入 这 条 命令 ? 


1.4 配置 通过 Telnet 登录 系统 


原理 概述 


Telnet (Telecommunication Network Protocol) 起 源 于 ARPANET， 是 最 早 的 Internet 
应 用 之 一 。 

Telnet 通常 用 在 远程 登录 应 用 中 ， 以 便 对 本 地 或 远 端 运行 的 网 络 设备 进行 配置 、 监 
控 和 维护 。 如 网 络 中 有 多 台 设 备 需 要 配置 和 管理 ， 用 户 无 需 为 每 一 台 设 备 都 连接 一 个 用 
户 终端 进行 本 地 配置 ， 可 以 通过 Telnet 方式 在 一 台 设 备 上 对 多 台 设 备 进行 管理 或 配置 。 
如 果 网 络 中 需要 管理 或 配置 的 设备 不 在 本 地 时 ， 也 可 以 通过 Telnet 方式 实现 对 网 络 中 设 
备 的 远程 维护 ， 极 大 地 提高 了 用 户 操作 的 灵活 性 。 
实验 目的 

e 理解 Telnet 的 应 用 场景 

e 掌握 Telnet 的 基本 配置 


e 掌握 Telnet 密码 验证 的 配置 
e 掌握 Telnet 用 户 级 别 的 修改 方法 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 路 由 器 R1 是 公司 机 房 的 一 台 设 备 ， 公 司 员工 的 办 公 区 
与 机 房 不 在 同一 个 楼 层 ， 路 由 器 R2 和 R3 模拟 员工 主机 ， 通 过 交换 机 S1 与 机 房 设备 相 
连 。 为 了 方便 用 户 的 管理 ， 现 需要 在 路 由 器 R1 上 配置 Telnet 使 用 户 能 在 办 公 区 远程 管 
理 机 房 设 备 。 为 了 提高 安全 性 ，Telnet 需要 使 用 密码 认证 ， 只 有 网 络 管理 员 能 对 设备 进 
行 配置 和 管理 ， 普 通用 户 仅 能 监控 设备 。 


实验 拓扑 
配置 通过 Telnet 登录 系统 的 拓扑 如 图 1-36 所 示 。 
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Ethernet 0/0/1 





Ethernet 0/0/3 


R3 
0T 
网 络 管理 员 
1-36 配置 通过 Telnet 登录 系统 拓扑 
实验 编 址 
实验 编 址 见 表 1-3。 
表 1-3 实验 编 址 


R1 (AR2220) GE 0/0/0 10.1.1.254 | 255.255.255.0 | 


R2 (AR2220) GE000 | 1011ll | 255.255.255.0 10.1.1.254 
R3 (AR2220) GE 0/0/0 10.1.1.2 255.255.255.0 10.1.1.254 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
这 里 以 用 户主 机 和 默认 网 关 间 的 连通 性 为 例 。 











2， 配置 Telnet 的 密码 验证 
为 了 方便 公司 员工 对 机 房 设 备 进行 远程 管理 和 维护 ， 首 先 需要 在 路 由 器 上 配置 
Telnet 功能 。 为 了 提高 网 络 安全 性 ， 可 在 使 用 Telnet 时 进行 密码 认证 ， 只 有 通过 认证 的 
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用 户 才 有 权限 登录 设备 。 
在 R1 上 配置 Telnet 验证 方式 为 密码 验证 方式 ， 密 码 为 huawei， 并 设置 验证 密码 以 
密 文 方式 存储 ， 在 配置 文件 中 以 加 密 的 方式 显示 密码 ， 能 够 使 密码 不 容易 被 泄露 。 
[Riluser-interface vty 0 4 
[Rl-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei 
在 用 户 设备 R2 和 R3 上 使 用 Telnet 连接 R1。 
<R2>telnet 10.1,1.254 
Trying 10.1.1.254 ... 
Press CTRL+K to abort 
Connected to 10.1.1.254 .… 
Login authentication 
Password: 
Info: The max number of VTY users is 10, and the number 
of current VTY users on line is 1. 
The current login time is 2013-06-25 13:56:34. 
<R1> 


<R3>telnet 10.1.1.254 

Trying 10.1.1.254 ... 

Press CTRL+K. to abort 

Connected to 10.1.1.254 .… 

Login authentication 

Password: 

Info: The max number of VTY users is 10, and the number 
of current VTY users on line is 1. 
The current login time is 2013-06-25 19:08:01. 

<R1> 


可 以 观察 到 R2 和 R3 在 连接 R1 的 过 程 中 ， 要 求 输入 认证 密码 ， 只 有 当 输 入 正确 的 
密码 后 才能 进入 R1 的 用 户 界面 。 
登录 成 功 后 ， 可 以 继续 使 用 display users 命令 查看 已 经 登录 的 用 户 信 息 。 


[IR1ldisplay users 
User-Intft Delay Type ，Network Address AuthenStatus AuthorcemdFlag 
+0 CONO 00:00:00 no Username : Unspecified 
34 VTY0 00:01:226 -TEL 10.1.1.2 ER Ses U 
sername : Unspecified 2 
35° VIY1 1500:00:30 TEL 10:111 pass ~ no U 


semame : Unspecified 

3. 配置 Telnet 区 分 不 同 用 户 的 权限 

为 了 进一步 保证 网 络 的 安全 性 及 稳定 性 ， 避 免 员 工 错误 更 改 设备 的 配置 ， 公 司 要 求 普 
通 员工 只 能 拥有 设备 的 监控 权限 ， 只 有 网 络 管理 员 拥有 设备 的 配置 和 管理 权限 。 默认 情况 
下 ，VTY 用 户 界面 的 用 户 级 别 为 0 (参观 级 )， 只 能 使 用 ping、tracert 等 网 络 诊断 命令 。 

在 Rl 上 配置 Telnet 的 用 户 级 别 为 1 (监控 级 )。 普 通 员工 仅 使 用 密码 登录 设备 ， 只 
能 使 用 display 等 命令 监控 设备 。 

[Rl]juser-interface vty 0 4 

[Rl-ui-vty0-4]authentication-mode password 

[Rl-ui-vty0-4]set authentication password cipher huawei 

[Rl-ui-vty0-4]user privilege level 1 
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配置 完成 后 ， 将 R2 模拟 成 普通 用 户 设备 ， 测 试 到 及 1 的 Telnet 连接 。 

<R2>telnet 10.1.1.254 

Trying 10.1.1.254 .… 

Press CTRL+K to abort 

Connected to 10.1.1.254 ... 

Login authentication 

了 Password: 

<RTR 

<R1>Ssystem-viewW 

Error: Unrecognized command found at '\' position 

可 以 观察 到 ， 此 时 输入 正确 的 密码 后 即 可 进入 R1 的 用 户 视图 ， 但 是 在 试图 进入 R1 
的 系统 视图 时 被 拒绝 了 ， 这 是 因为 用 户 级 别 不 够 ， 所 以 无 法 执行 更 高 一 级 的 命令 。 

管理 员 使 用 自己 单独 的 用 户 名 和 和 密码 登录 设备 ， 拥 有 设备 的 配置 和 管理 权限 。 这 里 
要 将 VTY 用 户 界 面 的 认证 模式 修改 成 AAA 认证 , 这 样 才能 使 用 本 地 的 用 户 名 和 密码 进 
行 认证 。 默 认 情 况 下 ， 设 备 的 AAA 认证 功能 是 开启 的 ， 所 以 只 需要 为 管理 员 在 本 地 配 
置 相应 的 用 户 名 和 密码 即 可 。 

下 面 模拟 进入 AAA 视图 下 配置 本 地 用 户 名 admin 和 密 文 密码 hello， 并 且 将 该 用 户 
的 用 户 级 别 修改 为 3〈 管 理 级 )。 

[R1]aaa 

[R1-aaallocal-user admin password cipher hello privilege level 3 

配置 该 用 户 的 接 入 类 型 为 Telnet。 

[R1-aaallocal-user admin service-type telnet 

接 下 来 进入 VTY 用 户 界面 视图 下 ， 将 认证 模式 改 成 AAA。 

[R1]user-interface vty 0 4 

[Rl-ui-vty0-4]authentication-mode aaa 

将 R3 模拟 成 管理 员 用 户 设 备 ， 测 试 到 R1 的 Telnet 连接 。 

<R3>telnet 10.1.1.254 

Trying 10.1.1.254 .… 

Press CTRL+K to abort 

Connected to 10.1.1.254 .… 

Login authentication 

Username:admin 

Password: 

Info: The max number of VTY users is 10, and the number 

of current VTY users on line is 1. 
The current login time is 2013-06-24 12:28:;38. 

<R1> 

<R1l>system-view 

Enter System view, return user view with Ctrl+Z. 

RH 

可 以 观察 到 ， 此 时 在 连接 R1 时 需要 同时 输入 用 户 名 和 密码 进行 认证 。 输 入 正确 的 
用 户 名 和 密码 后 即 可 进入 R1 的 用 户 视图 下 ， 且 可 以 使 用 system-view 命令 进入 到 R1 的 
系统 视图 下 ， 从 而 对 R1 进行 所 有 相关 的 配置 和 管理 操作 。 


思考 
Telnet 是 基于 TCP 协议 还 是 UDP 协议 的 应 用 ? 为什么? 
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Telnet 应 用 安全 吗 ? 为 什么 ? 


1.5 配置 通过 STelnet 登录 系统 


原理 概述 


由 于 Telnet 缺少 安全 的 认证 方式 ， 而 且 传输 过 程 采 用 TCP 进行 明文 传输 ， 存 在 很 大 
的 安全 隐患 ， 单 纯 提供 Telnet 服务 容易 招致 主机 IP 地 址 欺骗 、 路 由 欺骗 等 恶意 攻击 。 传 
统 的 Telnet 和 FTP 等 通过 明文 传送 密码 和 数据 的 方式 ， 已 经 慢 慢 不 被 接受 。 

STelnet 是 Secure Telnet 的 简称 。 在 一 个 传统 不 安全 的 网 络 环境 中 ， 服 务 器 通过 对 用 
户 端的 认证 及 双向 的 数据 加 密 ， 为 网 络 终端 访问 提供 安全 的 Telnet 服务 。 

SSH (Secure Shell) 是 一 个 网 络 安全 协议 ， 通 过 对 网 络 数据 的 加 密 ， 使 其 能 够 在 一 
个 不 安全 的 网 络 环境 中 ， 提 供 安全 的 远程 登录 和 其 他 安全 网 络 服务 。SSH 特性 可 以 提供 
安全 的 信息 保障 和 强大 的 认证 功能 ， 以 保护 路 由 器 不 受 诸如 卫 地 址 欺诈、 明文 密码 截取 
等 攻击 。SSH 数据 加 密 传输 ， 认 证 机 制 更 加 安全 ， 而 且 可 以 代替 Telnet， 已 经 被 广泛 使 
用 ， 成 为 了 当前 重要 的 网 络 协 议 之 一 。 

SSH 基 于 TCP 协议 22 端口 传输 数据 ,支持 Password 认 证 。 用 户 端 向 服务 器 发 出 Password 
认证 请 求 , 将 用 户 名 和 密码 加 密 后 发 送 给 服务 器 ; 服务 器 将 该 信息 解密 后 得 到 用 户 名 和 密码 
的 明文 ， 与 设备 上 保存 的 用 户 名 种 密 码 进行 比较 ， 并 返回 认证 成 功 或 失败 的 消息 。 

SFTP 是 SSH File Transfer Protocol 的 简称 ， 在 一 个 传统 不 安全 的 网 络 环境 中 ， 服 务 
器 通过 对 用 户 端的 认证 及 双向 的 数据 加 密 ， 为 网 络 文件 传输 提供 了 安全 的 服务 。 


实验 目的 


。 理解 SSH 的 应 用 场景 

e 理解 SSH 协议 的 原理 

。 掌握 配置 SSH Password 认证 的 方法 
。 掌握 SFTP 的 配置 


实验 内 容 


使 用 路 由 器 RI 模拟 PC， 作为 SSH 的 Client; 路 由 器 R2 作为 SSH 的 Server， 模 拟 
远程 用 户 端 R1 通过 SSH 协议 远程 登录 到 路 由 器 R2 上 进行 各 种 配置 。 本 实验 将 通过 
Password 认证 方式 来 实现 。 


实验 拓扑 
配置 通过 STelnet 登录 系统 的 拓扑 如 图 1-37 所 示 。 
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RI1 10.1.1.0/24 R2 





图 1-37 配置 通过 STelnet 登录 系统 拓扑 


实验 编 址 


实验 编 址 见 表 1-4。 
表 1-4 实验 编 址 


反日 IP 地 址 子 网 掩 码 
GE 0/0/0 | i | 255.255.255.0 
GE 0/0/0 10.1.1.2 255.255.255.0 














R1 (AR2220) 


R2 (AR2220) N/A 


实验 步骤 


1. 基本 配置 
由 于 eNSP 模拟 软件 自 带 PC 没有 SSH 用 户 端 ， 本 实验 采用 两 台 路 由 器 模拟 实验 ， 
路 由 器 R1 作为 SSH 的 Client， 路 由 器 R2 作为 SSH 的 Server。 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
[R2]ping 10.1.1.1 
PING 10.1.1.1: 56 data bytes, press CTRL_C to break 
Reply from 10.1.1.1: bytes=56 Sequence=l ttl=64 time=30 ms 
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=64 time=30 ms 
Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=64 time=30 ms 
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=64 time=10 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=64 time=20 ms 
--- 10.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/24/30 ms 
2. 配置 SSH Server 
相 比 于 Telnet 协议 ，SSH 协议 支持 对 报 文 加 密 传输 ， 而 非 明 文 传送 。 因 此 ， 在 跨越 
互联 网 的 远程 登录 管理 中 ， 建 议 使 用 SSH 协议 。 
成 功 完成 SSH 登录 的 首要 操作 是 配置 并 产生 本 地 RSA 密 钥 对 。 在 进行 其 他 SSH 配 
置 之 前 先 要 生成 本 地 密 钥 对 ， 生 成 的 密 钥 对 将 保存 在 设备 中 ， 重 启 后 不 会 丢失 。 
在 R2 上 使 用 rsa local-key-pair create 命 对 来 呈 成 本 地 了 及 RSA 主机 密 钥 对 。 


[R2]rsa local-key-pair create 

The key name will be: R2_Host 

The range of public key size is (512 ~ 2048). 

NOTES: If the key modulus is greater than 512, 
it will take a few minutes. 
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Input the bits in the modulus[default = 512]: 





配置 完成 后 , 使 用 display rsa local-key-pair public 命令 查看 本 地 密 钥 对 中 的 公 钥 部 
分 信息 。 


[R2]display rsa local-key-pair public 

Time of Key pair created: 2013-06-24 12:33:22-05:13 

Key name: R2_Host Le 
Key type: RSA encryption Key 


es——— i ee es ei st se ss 











Key code: 
3047 
0240 
B7C2165E 055CESB2 ACB9178] 18996572 05AF6068 
F6B71A08 729D0494 84AD336D EAB8727C 2A8D4FB9 
DCOE2AE8 FAD182F6 37BF685B 7D730889 173FA1CE 
9621BF67 





0260 
CEFA28DF E88B986F 8785B54E 035C0C4D 4671B975 
C71871E3 6F069F1C C1D7ACA2 DE279ED9 368EC812 
33E162D8 D03776C1 7757F05D A6D5F12E C5SBBD88A 
40EDD70F 071E2E99 B5D7330C 26E3D393 BDDB3B98 
14E3086C 292F697D A973DC38 63C3570D 

0203 

010001 


可 以 观察 到 ， 此 时 已 经 生成 了 本 地 RSA 主机 密 钥 对 。“Time of Key pair created” 描 
述 公 钥 生成 的 时 间 ,“Key name” 描 述 公 钥 的 名 称 ,“Key type” 描 述 公 钥 的 类 型 。 

在 R2 上 配置 VTY 用 户 界面 ， 设 置 用 户 的 验证 方式 为 AAA 授权 验证 方式 。 

[R2Juser-interface vty 0 4 ; 

[R2-ui-vty0-4]authentication-mode aaa 

指定 VTY 类 型 用 户 界面 只 支持 SSH 协议 ， 设 备 将 自动 禁止 Telnet 功能 。 

[R2-ui-vty0-4]protocol inbound ssh 

使 用 local-user 命令 创建 本 地 用 户 和 用 户口 令 ， 并 以 密 文 方式 显示 用 户口 令 ， 指 定 
用 户 名 为 huaweil， 密 码 为 huaweil。 

[R2]aaa 


[R2-aaallocal-user huaweil password cipher huaweil 
Info: Add a new user. 
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配置 本 地 用 户 的 接 入 类 型 为 SSH。 

[R2-aaajlocal-user huaweil service-type ssh 

使 用 ssh user 命令 新 建 SSH 用 户 ， 用 户 名 为 huaweil， 指 定 SSH 用 户 的 认证 方式 为 
Password， 即 密码 认证 方式 。 

[R2]ssh user huaweil authentication-type password 


此 处 还 可 以 继续 使 用 local-user huaweil privilege level 命令 配置 本 地 用 户 的 优先 级 。 
其 取 值 范围 为 0~15， 取 值 越 大 ， 代 表 用 户 ore 0 只 
能 使 用 等 于 或 低 于 自身 级 别 的 命令 ， 默 认 值 为 3， 代 表 管 

默认 情况 下 ,设备 的 SSH 服务 器 功能 为 关闭 状态 ， 了 此 功能 后 ， 用 户 端 才 
能 以 SSH 方式 与 设备 建立 连接 。 在 R2 上 开启 设备 的 SSH 功能 。 


[R2]stelnet server enable 
Info: Succeeded in starting the Stelnet server. 


配置 完成 后 ， 使 用 display ssh user-information huaweil 命令 在 SSH 服务 器 端 查看 
SSH 用 户 的 配置 信息 。 如 果 不 在 命令 末尾 指定 SSH 用 户 ， 则 可 以 查看 SSH 服务 器 端 所 
有 的 SSH 用 户 配置 信息 。 


[R2]display ssh user-information huaweil 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


可 以 观察 到 所 配置 的 SSH 用 户 名 及 认证 方式 。 
运行 display ssh server status 命令 ， 可 以 查看 SSH 服务 器 全 局 配置 信息 。 


[BR2]display ssh server status 


SSH version :1.99 

SSH connection timeout :60 seconds 

SSH server key generating interval :0 hours 

SSH Authentication retries :3 times 

SFTP Server :Disable 
Stelnet server :Enable 


可 以 观察 到 ， 此 时 R2 上 STelnet Server 服务 器 状态 为 启用 状态 

3. 配置 SSH Client 

当 SSH 用 户 端 第 一 次 登录 SSH 服务 器 时 ， 用 户 端 还 没有 保存 SSH 服务 器 的 RSA 公 钥 ， 
会 对 服务 器 的 RSA 有 效 性 公 钥 检查 失败 ， 从 而 导致 登录 服务 器 失败 。 因 此 当 用 户 端 R1 首次 
登录 时 ， 需 开启 SSH 用 户 端 首次 认证 功能 ， 不 对 SSH 服务 器 的 RSA 公 钥 进行 有 效 性 检查 。 

[Ri]ssh client first-time enable 

在 SSH 用 户 端 R1 上 使 用 stelnet 命令 连接 SSH 服务 器 。 

[Ri1]steinet 10.1.1.2 

登录 成 功 后 ， 输 入 用 户 名 huaweil。 

Please input the username:huaweil 

Trying 10.1.1.2 .… 


Press CTRL+K to abort 
Connected to 10.1.1.2 .… 


The server is not authenticated, Continue to access it? (y/n)[n]:y 
Jun 24 2013 13:14:46-05:13 R1 %%01SSH/4A/CONTINUE KEYEXCHANGE(D[0]:The server had not been authenticated in 
the process of exchanging keys. When deciding whether to continue, the user chose Y. 
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[RH] 

Save the servers public key? (y/n)[n]:y 

Jun 24 2013 1The server's public key will be saved with the name 10.1.1.2. Please wait... 

3:14:50-05:13 R1 %%O01SSH/4/SAVE PUBLICKEY(D)[1]:When deciding whether to save the server's public key 10,1.1.2, 
the user chose Y. 

第 一 次 登录 时 ， 由 于 开启 了 SSH 用 户 端 首次 认证 功能 ， 在 STelnet 用 户 端 第 一 次 登 
录 SSH 服务 器 时 ， 将 不 对 SSH 服务 器 的 RSA 公 钥 进行 有 效 性 检查 。 登 录 后 ， 系 统 将 自 
动 分 配 并 保存 RSA 公 钥 ， 为 下 次 登录 时 认证 。 

输入 用 户 huaweil 的 密码 huaweil。 


User last login information: 
Access Type: SSH 
IP-Address : 10.1.1.1 ssh 
Time : 2013-06-24 13:52:54-05:13 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


输入 密码 后 ， 远 程 登录 R2 成 功 ， 使 用 display ssh server session 命令 查看 SSH 服务 
器 端的 当前 会 话 连接 信息 。 


[R2]display ssh server session 
Conn Ver Encry State Auth-type Username 
VTY0 20 AES run password huaweil 


可 以 观察 到 , 用户 huaweil 已 经 成 功 通过 VTY 线路 0 远程 登录 上 来 ， 用 户 端 已 经 成 
功 连接 到 SSH 服务 器 ， 可 以 进行 各 种 配置 。 如 果 要 退出 登录 ， 使 用 quit 命令 即 可 。 

4. 配置 SFTP Server 与 Client 

在 R2 上 进入 AAA 视图 ,创建 一 个 名 称 为 huawei2 的 用 户 ， 并 配置 密码 为 huawei2， 
以 密 文 方式 显示 。 

[R2]aaa 

[R2-aaallocal-user huawei2 password cipher huawei2 

配置 本 地 用 户 的 接 入 类 型 为 SSH。 

[R2-aaallocal-user huawei2 service-type ssh 

配置 本 地 用 户 的 优先 级 ， 不 同 级 别 的 用 户 登 录 后 ， 只 能 使 用 等 于 或 低 于 自身 级 别 的 
命令 。 取 值 范 围 为 0~15， 取 值 越 大 ， 用 户 的 优先 级 越 高 。 

[R2-aaajlocal-user huawei2 privilege level 3 

指定 FTP 用 户 的 可 访问 目录 。 默 认为 室 ， 如 果 不 配置 ，FTP 用 户 将 无 法 登录 。 

[R2-aaa]local-user huawei2 ftp-directory flash: 

使 用 ssh user 命令 新 建 SSH 用 户 ， 用 户 名 为 huawei2， 指 定 SSH 用 户 的 认证 方式 为 
Password， 即 密码 认证 方式 。 

[R21]ssh user huawei2 authentication-type password 了 

使 用 sftp server enabe 命令 开启 SFTP 服务 器 功能 。 

[je 

配置 完成 后 ， 查 看 SSH 服务 器 的 配置 信息 。 

[R2]display ssh server status 

SSH version :1.99 
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SSH connection timeout :60 seconds 
SSH server key generating interval :0 hours 
SSH Authentication retries 3 times 
NO 


Stelnet server ne pp 
可 以 观察 到 ， 此 时 SFTP 服务 已 经 开启 。 
在 Ri 上 使 用 sftp 命令 连接 SSH 服务 器 ， 并 输入 用 户 名 huawei2 和 口令 huawei2。 





Bi 
ne 10.1.1.2.. 4 
Press CTRL+K to abort 
sftp-client> 
可 以 观察 到 已 经 成 功 登 录 。 
在 R2 上 查看 SSH 会 话 连接 信息 。 
[R2]display ssh server session ， 
Conu Ver Enery State Auth-type Username 
VIVO ZO AES. mn password huawei2 


Te i ee oe i Ed SD on ey oe ee oe i oe td cn bn et en De 


可 以 观察 到 , 用户 huawei2 已 经 成 功 通过 VTY 线路 0 远程 登录 上 来 , 用 户 端 已 经 成 


功 连接 到 SSH 服务 器 ， 可 以 进行 各 种 配置 。 如 果 要 退出 登录 ， 使 用 quit 命令 即 可 。 
思考 


开启 SSH 用 户 端 首次 认证 功能 有 什么 缺陷 ? 如果 不 开 启 此 功能 如 何在 用 户 端 远程 成 功 登录 ? 





1.6 配置 通过 FTP 进行 文件 操作 


原理 概述 


用 的 协议 之 一 ， 


FTP (File Transfer Protocol， 文 件 传 输 协议 ) 是 在 TCP/IP 网 络 和 Internet 上 最 早 使 
在 TCP/IP 协议 族 中 属于 应 用 层 协议 ， 是 文件 传输 的 Internet 标准 。 其 主 


要 功能 是 向 用 户 提供 本 地 和 远程 主机 之 间 的 文件 传输 ， 尤 其 是 在 进行 版 本 升级 、 日 志 下 
载 和 配置 保存 等 业务 操作 时 。 


FTP 采用 C/S (Client/Server) 结构 。FTP Server 能 够 提供 远程 用 户 端 访 问 和 操作 的 


功能 ， 用户 可 以 通过 主机 或 者 其 他 设备 上 的 FTP 用 户 端 程序 登录 到 服务 器 上 ， 进 行文 件 
的 上 传 、 下 载 和 目录 访问 等 操作 。 


实验 目的 


。 理解 FTP 的 应 用 场景 

。 掌握 操作 FTP 服务 器 的 常见 命令 

。 掌握 保存 文件 到 FTP 的 方法 

。 掌握 获取 FTP 服务 器 文件 到 本 地 的 方法 
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e 掌握 配置 路 由 器 为 FTP 服务 器 的 方法 
实验 内 容 

本 实验 模拟 企业 网 络 。PC-1 为 FTP 用 户 端 设备 ， 需 要 访问 FTP Server， 从 服务 器 上 下 
载 或 上 传 文件 。 出 于 安全 角度 考虑 ， 为 防止 服务 器 被 病毒 文件 感染 ,不 允许 用 户 端 直接 上 传 
文件 到 Server。 网 络 管理 员 在 R1 上 设置 了 限制 ， 使 员工 不 能 上 传 文件 到 Server， 但 是 可 以 


从 Server 下 载 文 件 。R1 也 需要 作为 用 户 端 从 Server 下 载 更 新 文件 ， 同 时 配置 R1 作为 FTP 
服务 器 ， 员 工 可 上 传 文件 到 R1 上 ， 经 过 管理 员 的 检测 后 由 Rl 再 上 传 到 FTP Server。 


实验 拓扑 
配置 通过 FTP 进行 文件 操作 的 拓扑 如 图 1-38 所 示 。 


Sl GE Rl 


GE 0/0/0 
GE 0/0/2 







GE 0/0/1 GE 0/0/1 


Ethernet 0/0/0 


Ethemet 0/0/0 


PC-1 FTP Server 
图 1-38 配置 通过 FTP 进行 文件 操作 拓扑 


实验 编 址 
实验 编 址 见 表 1-5。 
表 1-5 实验 编 址 



















默认 网 关 
10.0.1.254 





一 接 | 2 
Ethemet0/0/0 | 10011 | 
Ethernet 0/0/0 10.0.2.1 








实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
<RI>ping 10.0.1.1 


PING 10.0.1.1: 56 data bytes, press CTRL. C to break 
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Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=255 time=40 ms 
Reply from 10.0.1.1: bytes=56 Sequence=2， t=255 time=10 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.0. 1 bytes=56 Sequence=4 ttl=255 time=l ms ; 
Reply from 10.0.1.1: bytes=56 Sequence=5 M25 time=20 < 
一 10.0.1.1 ping statistics -— ; I 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 1/16/40 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2， 配 置 路 由 器 为 FTP Client 

首先 ， 在 本 地 电脑 上 创建 一 个 文件 夹 FTP-Huawei 作为 FTP 服务 器 的 文件 夹 ， 在 
文件 夹 下 再 创建 子 文件 夹 Config， 并 创建 测试 文件 test.txt， 如 图 1-39 所 示 。 


Ne 





图 1-39 ”创建 文件 夹 
创建 完成 后 ， 设 置 FTP 服务 器 的 文件 夹 为 刚才 的 主 文件 夹 目录 ， 如 图 1-40 所 示 。 





C: C:WsersWwx57751DesktopFTP Huawei 








图 1-40 设置 FTP 服务 器 文件 根 目 录 
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设置 完成 后 ， 启 动 FTP Server。 在 R1 上 使 用 ftp 命令 连接 FTP 服务 器 。 登 录 时 默认 
需要 输入 用 户 名 和 密码 ， 由 于 服务 器 上 没有 设置 用 户 名 和 密码 ， 每 次 在 R1 上 输入 时 等 
同 于 创建 该 用 户 名 和 密码 ， 本 次 使 用 用 户 名 10.0.2.1， 密 码 huawei。 

<RI>ftp 10.0.2.1 

Trying 10.0.2.1 ... 

Press CTRL+K to abort 

Connected to 10.0.2.1. 

220 FtpServerTry FtpD for free ， 

User(10.0.2.1:(none)):10.0.2.1 

331 Password required for 10.0.2.1. 

Enter password: 

230 User 10.0.2.1 logged in , proceed 

[R1-ftp] 

可 以 观察 到 ， 路 由 器 进入 FTP 配置 视图 。 

使 用 ls 命令 查看 FTP 服务 器 文件 夹 状态 。 

[R1-ftpjls 

200 Port command okay. 

150 Opening ASCII NO-PRINT mode data connection for 1s -1. 

Config 

226 Transfer finished successfully. Data connection closed. 

FTP: 12 byte(s) received in 0.180 second(s) 66.66byte(s)/sec. 


可 以 观察 到 ， 目 前 有 文件 夹 Config。 
使 用 ed 命令 进入 文件 夹 。 

[R1-ftp]cd Config 

250 "/config" is current directory. 

可 以 观察 到 ， 目 前 已 进入 该 文件 夹 。 
使 用 dir 命令 查看 详细 的 文件 属性 。 


[R1-ftpJdir 

200 Port command okay. 

150 Opening ASCII NO-PRINT mode data connection for ls -1. 
drwxrwxrwx 1 10.0.2.1 nogroup 3Aug21 2013 +test.txt 


226 Transfer finished successfully. Data connection closed. 
FTP: 66 byte(s) received in 0.050 second(s) 1.32Kbyte(s)/sec. 
使 用 get 命令 下 载 test.txt 到 本 地 路 由 器 。 


[Rl1-ftp]get test.txt 

200 Port command okay. 

150 Sending test.txt (3 bytes). Mode STREAM Type BINARY 

226 Transfer finished successfully. Data connection closed. 

FTP: 3 byte(s) received in 17.450 second(s) .17byte(s)/s 

可 以 观察 到 ， 下 载 文 件 成 功 。 

使 用 put 命令 上 传 test.txt 到 FTP 服务 器 ， 命 名 为 new.txt。 


[R1-ftpjput test.txt new.txt 

200 Port command okay. 

150 Opening BINARY data connection for new.txt 

226 Transfer finished successfully. Data connection closed. 
FTP: 3 byte(s) sent in 0.070 second(s) 42.85byte(s)/sec. 
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可 以 观察 到 ， 上 传 文件 成 功 。 

3， 配 置 路 由 器 为 FTP Server 

在 上 面 的 步骤 中 ,路 由 器 作为 FTP Client 已 经 成 功 从 FTP Server 上 获取 和 上 传 了 文件 。 

现在 将 路 由 器 配置 为 FTP 服务 器 , 可 以 使 得 路 由 器 下 行 的 用 户 端 能 够 上 传 文件 到 路 
由 器 上 ， 并 可 直接 从 Server 上 获取 文件 。 

打开 路 由 器 R1 的 FTP 服务 器 功能 。 

<R1l>system-view 


[R1]ftp server enable， 

设置 FTP 登录 的 用 户 名 为 f ftp， 密 码 为 huawei， 设置 文件 夹 目录 «flash: - . 配置 FTP 
用 户 可 访问 的 目录 为 “fash: ” 用 户 优 先 级 为 1 5， 服务 类 型 为 ftp。 

[Rl]aaa 

[R1-aaajlocal-user ftp | 

[R1-aaa]local-user ftp ftp-directory flash: 

[R1-aaallocal:user fip serviceltype Rg 

[R1-aaa]local-user ftp privilege level 15 

配置 完成 后 ， 在 本 地 创建 测试 文件 test-user.txt， 并 设置 用 户 端 信息 如 图 1-41 所 示 。 
配置 服务 器 地 址 为 10.0.1.254， 用 户 名 为 fp， 密 码 为 huawei， 然 后 单 击 “ 登 录 ” 按 钮 。 














只 显示 小 于 的 文件 














图 1-41 在 PC-1 上 设置 FTP 服务 器 


登录 成 功 后 ， 可 在 “本 地 文件 列表 ”中 选择 文件 testrusertxt， 并 单 击 向 右 箭头 传送 
至 FTP 服务 器 ， 可 观察 到 上 传 文件 成 功 。 
在 R1 上 查看 目录 下 的 文件 。 


[Rl]dir 
Directory of flash:/ 


40 HCNA 网 络 技术 实验 指南 





可 以 观察 到 ， 已 经 将 相应 文件 成 功 上 传 至 FTP 服务 器 R1。 
思考 
默认 情况 下 ，FTP 服务 器 端 监听 端口 号 是 21， 能 否 在 路 由 器 上 变更 此 端口 号 ?有 什么 好 处 ? 











RN 
、 

















第 2 人 鞋 
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2.1 交换 机 基础 配置 
2.2 理解 ARP 及 Proxy ARP 
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2.1 交换 机 基础 配置 


原理 概述 


交换 机 之 间 通 过 以 太 网 电 接口 对 接 时 需要 协商 一 些 接口 参数 ， 比 如 速率 、 双 工 模式 
等 。 交 换 机 端口 的 全 双 工 是 指 端口 在 发 送 数据 的 同时 也 能 接收 数据 ， 两 者 同时 进行 。 就 如 
平时 打 电 话 一 样 ,说 话 的 同时 也 能 够 听 到 对 方 的 声音 。 而 半 双 工 指 在 同一 时 刻 只 能 发 送 或 
接收 数据 ， 就 像 一 条 比较 窗 的 路 ， 只 能 先 通 过 一 边 的 车 ， 然 后 再 通过 另 一 边 的 车 ， 若 两 边 
一 起 通过 的 话 就 会 撞车 。 如 果 交 换 机 两 端 接 口 协商 模式 不 一 致 ， 会 导致 报 文 交互 异常 。 

接口 速率 指 交 换 机 接口 每 秒 钟 传输 数据 的 多 少 , 在 交换 机 上 可 根据 需要 调整 以 太 网 接 
口 速率 。 默 认 情 况 下 ， 当 以 太 网 接口 工作 在 非 自 协商 模式 时 ， 它 的 速率 为 接口 支持 的 最 大 
速率 。 


实验 目的 


。 理解 双 工 模式 和 接口 速率 
。 掌握 更 改 双 工 模式 的 配置 
。 掌握 更 改 接 口 速 率 的 配置 


实验 内 容 


某 公 司 刚 成 立 ， 新 组 建 网 络 ， 购 置 了 3 台 交 换 机 。 其 中 S1 和 S2 为 接 入 层 交 换 机 ， 
S3 为 汇聚 层 交 换 机 。 现 在 网 络 管理 员 需 要 对 3 台新 交换 机 进行 基本 配置 ， 保 证 交换 机 间 
的 接口 使 用 全 双 工 模式 ， 并 根据 需要 配置 接口 速率 。 


实验 拓扑 
交换 机 基础 配置 的 拓扑 如 图 2-1 所 示 。 









GE 0/0/2 


GE 0/0/1 


Ethemet 0/0/1 
Ethermet 0/0/1 


Ethemet 0/0/1 
Ethemet 0/0/1 





图 2-1 交换 机 基础 配置 拓扑 
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实验 编 址 


实验 编 址 见 表 2-1。 
表 2-1 对 


Ee 0/0/1 F011 255,253. 255 0 
Ethernet 0/0/1 10.1.1.2 255255,255.0 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
PC>ping 10.1.1.2 
Ping 10.1.1.2: 32 data bytes, Press Ctrl C to break 
From 10.1.1.2: bytes=32 seq=1 ttl=128 time=62 ms 
From 10.1.1,2; bytes=32 seq=2 ttl=128 time=63 ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 time=31 ms 
From 10.1.1.2: bytes=32 seq=4 tt=128 time=47 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=78 ms 
一 10.1.1.2 ping statistics -一 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 31/56/78 ms 


现在 PC-1 和 PC-2 能 够 正常 通信 。 

2. 配置 交换 机 双 工 模式 

配置 接口 的 双 工 模式 可 在 自 协商 或 者 非 自 协商 模式 下 进行 

在 自 协商 模式 下 ， 接 口 的 双 工 模式 是 和 对 端 接口 协商 得 到 的 ， 但 协商 得 到 的 双 工 模 
式 可 能 与 实际 要 求 不 符 。 可 通过 配置 双 工 模式 的 取 值 范围 来 控制 协商 的 结果 。 例 如 ， 互 
连 的 两 个 设备 对 应 的 接口 都 支持 全 / 半 双 工 ， 经 自 协商 后 工作 在 半 双 工 模式 ， 与 实际 要 求 
的 全 双 工 模式 不 符 , 这 时 就 可 以 执行 auto duplex full 命令 使 接口 的 可 协商 双 工 模式 变 为 
全 双 工 模式 。 默 认 情 况 下 ， 以 太 网 接口 自 协商 双 工 模式 范围 为 接口 所 支持 的 双 工 模式 。 

在 非 自 协商 模式 下 ， 可 以 根据 实际 需求 手动 配置 接口 的 双 工 模式 。 

在 S1、S2、S3 交换 机 接口 下 先 通过 undo negotiation auto 命令 关 掉 自 协商 功能 ， 再 
手工 指定 双 工 模式 为 全 双 工 。 


[Sllinterface GigabitEthernet 0/0/1 
[Sl1-GigabitEthernet0/0/1]undo negotiation auto 
[S1-GigabitEthernet0/0/1]duplex full 





[S2]interface GigabitEthemet 0/0/2 
[S2-GigabitEthernet0/0/2]undo negotiation auto 
[S2-GigabitEthernet0/0/2]duplex fall 


[S3]interface GigabitEthernet 0/0/1 
[S3-GigabitEthermet0/0/1]jundo negotiation auto 
[S$3-GigabitEthernet0/0/1]duplex full 
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[S3-GigabitEthernetQ/0/1]jinterface GigabitEthernet 0/0/2 

[S3-GigabitEthernet0/0/2]undo negotiation auto 

[S3-GigabitEthernet0/0/2]duplex full 

3. 配置 接口 速率 

在 自 协 商 模式 下 ， 以 太 网 接口 的 速率 是 和 对 端 接口 协商 得 到 的 。 如 果 协 商 的 速率 与 
实际 要 求 不 符 ， 可 通过 配置 速率 的 取 值 范围 来 控制 协商 的 结果 。 例 如 ， 互 连 的 两 个 设备 
对 应 的 接口 经 自 协商 后 的 速率 为 10Mbits， 与 实际 要 求 的 100Mbit/s 不 符 ， 可 通过 执行 
auto speed 100 命令 配置 使 得 接口 可 协商 的 速率 为 100Mbit/s。 默 认 情 况 下 ， 以 太 网 接口 
自 协商 速率 范围 为 接口 支持 的 所 有 速率 。 

在 非 自 协商 模式 下 ， 需 手动 配置 接口 速率 ， 避 免 发 生 无 法 正常 通信 的 情况 。 

默认 情况 下 ， 以 太 网 接口 的 速率 为 接口 支持 的 最 大 速率 。 

根据 网 络 需 要 调整 接口 速率 。 由 于 网 络 用 户 较 少 ， 配 置 GE 接口 速率 为 100Mbit/s， 
配置 Ethernet 接口 速率 为 10Mbit/s。 

在 3 台 交 换 机 接口 下 配置 速率 。 首 先 关闭 接口 自 协商 模式 ,然后 配置 以 太 网 接口 的 速率 。 

[Slj]interftace Ethernet 0/0/1 

[S1-Ethernet0/0/1]undo negotiation auto 

[S1-Ethernet0/0/1]speed 10 

用 同样 的 方法 配置 另外 两 台 设 备 接口 的 速率 。 

[S2]jinterface Ethernet 0/0/1 

[S2-Ethernet0/0/1]undo negotiation auto 

[S2-Ethernet0/0/1]speed 10 

[S2-Ethernet0/0/1 linterface GigabitEthernet 0/0/2 

[S2-GigabitEthernet0/0/2]undo negotiation auto 

[S2-GigabitEthemet0/0/2]speed 100 


[S3]interface GigabitEthernet 0/0/1 
[S3-GigabitEthemet0/0/1jundo negotiation auto 
[S3-GigabitEthernet0/0/1]speed 100 
[S3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S3-GigabitEthermetO/0/2]undo negotiation auto 
[S3-GigabitEthernet0/0/2]speed 100 


思考 
在 实际 操作 中 ， 通 常 使 用 自动 协商 模式 还 是 手动 配置 模式 ? 为 什么 ? 


2.2 理解 ARP 及 Proxy ARP 


原理 概述 


ARP (Address Resolution Protocol) 是 用 来 将 一 个 IP 地 址 映射 到 正确 的 MAC 地 址 。 
ARP 表 项 可 以 分 为 动态 和 静态 两 种 类 型 。 动 态 ARP 是 利用 ARP 广播 报 文 ， 动 态 执 行 并 
自动 进行 IP 地 址 到 以 太 网 MAC 地 址 的 解析 ， 无 需 网 络 管理 员 手 工 处 理 。 静 态 ARP 是 
建立 卫 地址 和 MAC 地 址 之 闻 固 定 的 映射 关系 ,在 主机 和 路 由 器 上 不 能 动态 调整 此 映射 
关系 ， 需 要 网 络 管理 员 手 工 添 加 。 设 备 上 有 一 个 ARP 高 速 缓 存 (ARP cache)， 用 来 存放 
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IP 地 址 到 MAC 地 址 的 映射 表 , 利用 ARP 请 求 和 应 答 报 文 刷新 映射 表 ， 以 便 能 正确 地 把 
三 层 数据 包 封 装 成 二 层 数 据 帧 ， 达 到 快速 封装 数据 帧 、 正 确 转 发 数据 的 目的 。 另 外 ARP 
还 有 扩展 应 用 功能 ， 比 如 Proxy ARP 功能 。 

Proxy ARP， 即 代理 ARP， 当 ARP 请 求 是 从 一 台 主 机 发 出 ， 用 以 解析 处 于 同一 逻辑 
三 层 网 络 却 不 在 同一 物理 网 段 上 的 男 一 台 主 机 的 硬件 地 址 时 ,连接 它们 的 具有 代理 ARP 
功能 的 设备 就 可 以 应 答 该 请 求 ， 使 得 处 于 不 同 物 理 网 段 的 主机 可 以 正常 进行 通信 。 


实验 目的 


。 理解 ARP 工作 原理 

。 掌握 配置 静态 ARP 的 方法 

e 理解 Proxy ARP 的 工作 原理 

e 掌握 Proxy ARP 的 配置 

。 理解 主机 之 间 的 通信 过 程 
实验 内 容 

本 实验 模拟 公司 网 络 场 景 。 路 由 器 R1 是 公司 的 出 口 网 关 ， 连 接 到 外 网 。 公 司 内 所 
有 员工 使 用 10.1.0.0/16 网 段 ， 通 过 交换 机 连接 到 网 关 路 由 器 上 。 网 络 管理 员 通 过 配置 静 
态 ARP 防止 ARP 欺骗 攻击 ， 保 证 通信 安全 。 又 由 于 公司 内 所 有 主机 都 没有 配置 网 关 ， 


且 分 属于 不 同 广播 域 ， 造 成 无 法 正常 通信 ， 网 络 管理 员 需 要 通过 在 路 由 器 上 配置 ARP 
代理 功能 ， 实 现 网 络 内 所 有 主机 的 通信 。 


实验 拓扑 


ARP 及 ARP Proxy 的 拓扑 如 图 2-2 所 示 。 





10.1.1.254/24 
GE 0/0/1 












GE 0/0/1 





S1 [ex | es S2 
Ethernet 0/0/1 Ethernet 0/0/2 Ethemet 0101 
Ethemet 0/0/1 Ethernet 0/0/1 Ethernet 0/0/1 
PC-1 PC-2 PC-3 
oe 1011216 0123i6 


2-2 理解 ARP 及 ARP Proxy 拓扑 
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实验 编 址 
实验 编 址 见 表 2-2。 
表 2-2 实验 编 址 
GE 0/0/1 10.1.1.254 255.255.255.0 
R1(AR2220) 
GE 0/0/2 10.1.2.254 255.255.255.0 
Ethemet0/0/1 | 101lll | 255.255.0.0 
Ethernet 0/0/1 10.1.1.2 255.255.0.0 
Ethernet 0/0/1 10.1.2.3 255.255.0.0 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 ， 如 图 2-3 所 示 。 




















图 2-3 配置 PC-1 的 ep 
根据 实验 编 址 配置 PC 主机 的 卫 地 址 及 对 应 的 掩 码 ， 掩 码 长 度 是 16。 配 置 完成 后 ， 
在 命令 行 下 使 用 arp -a 命令 查看 主机 的 ARP 表 。 


PCP 、 


查看 到 ARP 表 项 为 空 ， 没 有 任何 条 目 在 里 面 。 
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根据 实验 编 址 配置 路 由 器 Rl 的 接口 卫 地 址 ， 掩 码 长 度 为 24。 


[Rl]interface GigabitEthernet 0/0/1 
[R1:GigabitEthernet0/0/1]ip address 10.1.1.254 255.255.255.0 
[RI:GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[R1-GigabitEthernet0/0/2]ip address 10.1.2.254 255.255.255.0 


配置 完成 后 ， 使 用 display arp all 命令 查看 R1 的 ARP 表 。 


[R1]display arp all 

IPADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE 
VLAN/CEVLAN PVC 

10.1.1.254 00e0-fe03-beac I- GEO/0/1 

10.1.2.254 00e0-fc03-bead I- GE0/0/2 

Total:2 Dynamic:0 Static:0 Interface:2 


ARP 表 中 仅 含有 R1 的 两 个 接口 IP 地 址 及 与 其 对 应 的 MAC 地 址 的 ARP 表 项 , 没有 
其 他 条 目 。 
在 PC-1 上 使 用 ping 命令 测试 到 网 关 R1 和 PC-2 的 连通 性 。 
PC>ping 10.1.1.254 
Ping 10.1.1.254: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.254: bytes=32 seq=1 ttl=255 time=47 ms 
From 10.1.1.254: bytes=32 seq=2 ttl=255 time=47 ms 
From 10.1.1.254: bytes=32 seq=3 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=4 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=5 ttl=255 time=15 ms 
一 10.1.1.254 ping statistics 一- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 15/34/47 ms 


PC>ping 10.1.1.2 
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.2: bytes=32 seq=1 ttl=128 time=16 ms 
From 10.1.1.2: bytes=32 seq=2 ttl=128 time<] ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 time=16 ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=16 ms 
From 10.1.1.2; bytes=32 seq=5 ttl=128 time=16 ms 
-一 10.1.1.2 ping statistics -~- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/12/16 ms 
在 PC-3 上 ， 使 用 ping 命令 测试 到 网 关 R1 的 连通 性 。 
PC>ping 10.1.2.254 
Ping 10.1.2.254: 32 data bytes, Press Ctrl_C to break 
From 10.1.2.254: bytes=32 seq=1 ttl=255 time=47 ms 
From 10.1.2.254: bytes=32 seq=2 ttl=255 time=46 ms 
From 10.1.2.254: bytes=32 seq=3 ttl=255 time=31 ms 
From 10.1.2.254: bytes=32 seq=4 ttl=255 time=16 ms 
From 10.1.2.254: bytes=32 seq=5 ttl=255 time=15 ms 
~- 10.1.2.254 ping statistics ~- 

5 packet(s) transmitted 

5 packet(s) received 
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可 以 观察 到 ， 直 连 网 络 连通 性 正常 。 

当主 机 和 网 关 之 间 有 数据 访问 时 ， 如 果 ARP 表 中 没有 目标 卫 地 址 与 目标 MAC 地 
址 的 对 应 表 项 ，ARP 协议 会 被 触发 ， 向 直 连 网 段 发 送 ARP 广播 请 求 包 ， 请 求 目 标 耳 地 
址 所 对 应 的 MAC 地 址 。 图 2-4 是 PC-1 发 送 的 ARP 广播 请 求 ， 请 求 目 标 IP 10.1.1.254 
的 MAC 地 址 。 


一 TIS STC3UNINNE TAREE 0 03 
Hardware Ee Ethernet 二 
Protocol type: IP (QOx0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (0x0001) 
[Is gratuitous: False] 
Sender MAC address: HuaweiTe_cf:26:03 (54:89:98:cf:26:03) 
Sender IP address: 10.1.1.1 (10.1.1.1) 
Target MAC address: Broadcast (ff:ff:ff:ff:ff:ff) 
Target IP address: 10.1.1.254 (10.1.1.254) 


图 2-4 PC-1 发 送 的 ARP 广播 请 求 报 文 


网 关 收 到 广播 请 求 后 ， 回 应 单 播 的 ARP 响应 ， 里 面 含有 自身 人 P 地址 与 MAC 地 址 
的 对 应 关系 ， 如 图 2-5 所 示 。 








Hardware type: Ethernet (Ox0001) 

Protoco]l type: IP (Ox0800) 

Hardware size: 6 

Protocol size: 4 

Opcode: reply (0x0002) 

[rs gratuitous: False] 

Sender MAC address: HuaweiTe_03:be:ac (00:e0:fc:03:be:ac) 
Sender IP address: 8 1.1.254 (10.1.1.254) 

Target MAC address: HuaweiTe_cf:26: :03 (54:89:98:cf:26:03) 
Target IP address: "40.1,1.1 (10.1.1.1) 


2-5 ARP 响应 报 文 
PC 和 R1 都 会 从 这 一 对 消息 中 知道 对 方 的 他 地址 与 MAC 地 址 的 对 应 关系 , 并 将 它 
写 到 各 自 的 ARP 表 中 。 在 PC-1 上 ping 网 关 10.1.1.254 后 ， 在 PC 上 使 用 arp-a 命令 查 
看 ， 在 RI 上 使 用 display arp all 命令 查看 。 





可 以 观察 到 ， 在 PC-1 上 生成 了 网 关 JP 地 址 10.1.1.254 和 与 其 对 应 的 MAC 地 址 的 
ARP 表 项 ， 在 R1 上 生成 了 PC-1 的 全 地 址 10.1.1.1 和 与 其 对 应 的 MAC 地 址 的 ARP 表 
项 。 上 述 出 现在 PC 和 了 1 里 面 的 条 目 都 是 动态 生成 的 。 如 果 一 段 时 间 之 后 没有 更 新 ， 便 
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会 从 上 述 ARP 表 中 删除 。 

2. 配置 静态 ARP 

上 述 ARP 协议 的 工作 行为 往往 被 攻击 者 利用 。 如 果 攻 击 者 发 送 伪 造 的 ARP 报 文 ， 
而 且 报 文 里 面 所 通告 的 人 P 地 址 和 MAC 地 址 的 映射 是 错误 的 ， 则 主机 或 网 关 会 把 错误 的 
映射 更 新 到 -ARP 表 中 。 当 主机 要 发 送 数据 到 指定 的 目标 卫 地 址 时 ， 从 ARP 表 里 得 到 了 
不 正确 的 硬件 MAC 地 址 ， 并 用 之 封装 数据 帧 ， 导 致 数据 帧 无 法 正确 发 送 。 

由 于 公司 内 主机 感染 了 这 种 ARP 病毒 ， 所 以 主机 对 网 关 R1 进行 ARP 攻击 ， 向 网 
关 R1 通告 含 错误 映射 的 ARP 通告 ， 导 致 网 关 路 由 器 上 使 用 不 正确 的 动态 ARP 映射 条 
目 ， 造 成 其 他 主机 无 法 与 网 关 正 常 通信 。 

模拟 ARP 攻击 发 生 时 , 网 络 的 通信 受到 了 影响 。 在 网 关 R1 上 , 使 用 arp static 10.1.1.1 
5489-98CF-2803 命令 在 路 由 器 上 静态 添加 一 条 关于 PC-1 的 错误 的 ARP 映射 , 假定 此 映 
射 条 目 是 通过 一 个 ARP 攻击 报 文 所 获得 的 《静态 的 条 目 优 于 动态 的 条 目 )， 所 以 错误 的 
映射 将 出 现在 ARP 表 中 。 





可 以 观察 到 , PC-1 与 网 关 间 无 法 通信 , 因为 在 路 由 器 R1 上 ARP 的 映射 错误 ， 
导致 路 由 器 无 法 正确 地 发 送 数据 包 给 PC-1。 在 RI 的 GE 0/0/1 接口 抓 包 观察 ， 如 
2-6 所 示 。 
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NNO 
EO 






"1.1.1 em 一 一 一 一 一 一 一 一 一 一 一 一 一 一 Tt1=255) 






a ，tt12255) 
二 i Echo (ping) rm cauest Cie-oxeaab, eatoe /11280/5, te-233) 
rn ito ee OE DE TP A . 
Frame 14: 98 ee on wire (784 bits), 98 bytes captured (784 bits) 9 ee 
已 Ethernet II, Src: HuaweiTe 03:be:ac (00:e0:fc:03:be:ac), Dst: HyuaweiTe_cf:28:03 (54:89:98:cf:28:03) 
田 Destination: HuaweiTe_cf:28:03 (54:89:98:cf:28:03) 
田 Source: HuaweiTe_03:be:ac (00:e0:fc:03:be:ac) 


.049000 : 
14 20. 077000 10.1.1.254 
‘16 22.090000 A 1.254 10.1.1. 














Type: IP (Ox0800) 
由 Internet Protocol, Src: 10.1.1.254 (10.1.1.254), Dst: 10.1.1.1 (10.1.1.1) 
田 Internet Control Message Protocol 


图 2-6 抓 包 现象 


可 以 观察 到 , 由 于 配置 了 静态 ARP, R1 发 往 PC-1 的 ping 包 的 二 层 头 部 , 目的 MAC 
地 址 被 错误 地 封装 为 5489-98CF-2803。 

应 对 ARP 欺骗 攻击 ,防止 其 感染 路 由 器 的 ARP 表 , 可 以 通过 配置 静态 ARP 表 项 来 
实现 。 如 果 耳 地 址 和 一 个 MAC 地址 的 静态 映射 已 经 出 现在 ARP 表 中 , 则 通过 动态 ARP 
方式 学 来 的 映射 则 无 法 进入 ARP 表 。 所 以 针对 公司 网 络 的 现状 ， 网 络 管理 员 在 R1 上 手 
工 配 置 三 条 关于 PC-1、PC-2 和 PC-3 的 正确 ARP 映射 。 使 用 arp static 命令 , 配置 如 下 。 


[RIJundo arp static 10.1.1.1 5489-98cf-2803 
[R1Jarp static 10.1.1.1 5489-98cf-2603 
[RI]arp static 10.1.1.2 5489-98cf-5723 
[R1Jarp static 10.1.1.1 5489-98cf-e417 


[Rl]display arp all 

IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE 
VLAN/CEVLAN PVC 

10.1.1.254 00e0-fc03-beac 1- GE0/0/1 

10.1.2.254 00e0-fc03-bead I- GE0/0/2 

10.1.1.1 5489-98cf-2603 S GE0/0/2 

10.1.1.2 5489-98cf-5723 S GE0/0/2 

10.1.1.3 5489-98cf-e417 S GE0/0/2 

Total:5 Dynamic:0 Static:3 Interface:2 


配置 完成 后 ， 在 PC-1 上 测试 。 
PC>ping 10.1.1.254 
Ping 10.1.1.254: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.254: bytes=32 seq=1 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=2 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=3 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=4 ttl=255 time=16 ms 
From 10.1.1.254: bytes=32 seq=5 ttl=255 time=16 ms 
—- 10.1.1.254 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 16/25/31 ms 


可 以 观察 到 ， 配 置 后 连通 性 恢复 正常 。 

公司 网 络 中 出 现 ARP 攻击 的 情况 是 比较 常见 的 ， 防 御 的 办 法 之 一 是 在 ARP 表 中 手 
工 添加 ARP 映射 。 此 种 方法 的 优点 是 简单 易 操作 , 不 足 之 处 是 网 络 中 每 个 网 络 设备 都 有 
ARP 表 ， 要 全 方位 保护 网 络 就 要 在 尽 可 能 多 的 三 层 设 备 上 把 全 网 的 ARP 映射 手工 写 入 
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到 ARP 表 里 ， 工 作 量 过 大 ， 如 果 更 换 卫 或 MAC 后 ， 还 需要 手工 更 新 ARP 映射 ， 远 没 
有 动态 ARP 协议 维护 ARP 表 方 便 。 但 如 果 公 司 网 络 规模 不 大 或 者 网 络 设备 不 多 的 情况 
下 ， 静 态 ARP 方案 还 是 具有 一 定 优势 的 。 

3. 配置 Proxy ARP 

目前 公司 的 网 络 被 路 由 器 R1 分 割 为 两 个 独立 的 广播 域 ， 每 个 路 由 器 接口 对 应 一 个 
PP 网络， 分 别 是 10.1.1.0/24 和 10.1.2.0/24， 查 看 R1 的 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 

Destination/Mask Proto Pie Cos Flags  € NextHop Interface 

10.1.1.0/24 Direc 0 30 D 10.1.1.254 GigabitEthernet 0/0/1 
10.1.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 
10.1.2.0/24 二 10.1.2.254 GigabitEthernet 0/0/2 
10.1.2.254/32 Direct ‘0 0 D 127.0.0.1 GigabitEthernet 0/0/2 
127.0.0.0/8 IRON D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direatu dl ‘00 D 127.0.0.1 JnLoopBack0 


默认 情况 下 ， 路 由 器 上 的 ARP 代理 功能 是 关闭 的 。 

如 果 R1 保持 ARP 代理 功能 关闭 的 情况 , 则 PC-2 和 PC-3 之 间 不 能 互相 通信 。 在 PC-2 
使 用 ping 访问 10.1.2.3， 并 在 PC-2 的 E 0/0/1 接口 上 抓 包 来 观察 ， 如 图 2-7 所 示 。 
PC>ping 10.1.2.3 

Ping 10.1.2.3: 32 data bytes, Press Ctrl Ctobreak 

From 10.1.1.2; Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 


No，、 Time Source Destination Protocol info 
344 690. 741000 HuaweiTe_cf:57:23 Broadcast ARP Who has 10.1.2.3? Tell 10.1.1.2 
345 691.755000 HuaweiTe_cf:57:23 Broadcast ARP Who has 10.1.2.3? Tell 10.1.1.2 
347 692.754000 HuaweiTe_cf:57:23 Broadcast ARP Who has 10.1.2.37 Te]l 10.1.1.2 


图 2-7 抓 包 观 察 


可 以 观察 到 ，PC-2 发 出 了 ARP 广播 ， 却 一 直 没 有 收 到 ARP 响应 。 原 因 是 PC-2 和 
PC-3 分 处 在 两 个 广播 域内 ，PC-2 发 的 ARP 请 求 无 法 跨越 中 间 的 路 由 器 ， 所 以 PC-3 收 
不 到 PC-2 的 ARP 请 求 , PC-2 也 无 法 知晓 目标 主机 PC-3 的 硬件 MAC 地 址 而 导致 数据 
封装 失败 。 

但 R1 如 果 开 启 ARP 代理 之 后 ， 看 是 否 能 够 解决 这 个 问题 。 配 置 arp-proxy enable 
命令 在 路 由 器 的 接口 上 来 开启 ARP 代理 功能 。 


[Rll]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]arp-proxy enable 


启用 ARP 代理 之 后 ， 同 样 的 测试 ， 在 PC-2 上 访问 PC-3， 并 在 PC-2 的 E 0/0/1 接口 
抓 包 观 察 ， 如 图 2-8 所 示 。 
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No. Time Source Destination Protocol Info 
4 4.712000 HuaweiTe_cf:57:23 Broadcast ARP Who has 10.1,2,.3? Tell 10.1.1.2 
54.743000 HuaweiTe_03:be:ac HuaweiTe_cf:57:23 ARP 10.1.2.3 is at 00:e0:fc:03:be:ac 











Frame 5: 60 i on 和 CA80 DRC 而 i TS C0 ey 

Ethernet II, Src: HuaweiTe_03:be:ac (00:e0:fc:03:be:ac), Dst: HuaweiTe_cf:57:23 (54:89:98:cf:57:23) 
s Address Resolution Protocol (repiy) 
Hardware type: Ethernet (Ox0001) 
Protocol type: IP (Ox0800) 
Hardware size: 6 

Protocol size:; 4 

Opcode: reply (0x0002) 

[Is gratuitous: False] 

Sender MAC address: HuaweiTe_03:be:ac (00:e0:fc:03:be:ac) 
sender IP address: 10.1.2.3 (10.1.2.3) 

Target MAC address: HuaweiTe_cf:57:23 (54:89:98:cf:57:23) 
Target IP address: 10.1.1.2 (10.1.1.2) 


图 2-8 抓 包 现象 


可 以 观察 到 ，PC-2 发 出 了 ARP 请 求 并 收 到 了 ARP 响应 ， 但 响应 中 10.1.2.3 所 对 应 
的 硬件 MAC 地 址 并 非 是 PC-3 的 MAC 地 址 , 而 是 网 关 R1 的 GE 0/0/1 接口 MAC 地 址 。 










在 PC-2 上 查看 ARP 表 。 

PC>arp -a 

er ee Physical Address Type 
10.1.2.3: “00-e0-fec-03-be-ac dynamic 


开启 ARP 代理 后 ， PC-2 访问 PC-3 的 工作 过 程 如 下 。 

R1 的 接口 GE 0/0/1 开启 了 ARP 代理 后 ， 收 到 PC-2 的 ARP 广播 请 求 报 文 后 ，R1 
根据 ARP 请 求 中 的 目标 IP 地 址 10.1.2.3 查看 自身 的 路 由 表 中 是 否 有 对 应 的 目标 网 络 ， 
R1 的 GE 0/0/2 接口 就 是 10.1.2.0/24 网 络 , 所 以 , R1 直接 把 自身 的 GE 0/0/1 接口 的 MAC 
地 址 通过 ARP 响应 返回 给 PC-2, PC-2 接收 到 此 ARP 响应 后 使 用 该 MAC 作为 目标 硬件 
地 址 发 送 报 文 给 R1，R1 收 到 后 再 把 报 文 转发 给 PC-3。 

同 理 ，PC-3 要 能 访问 R1 连接 的 其 他 广播 域 的 PC， 也 需要 在 Rl 的 GE 0/0/2 接口 上 
开启 ARP 代理 功能 。 

[R1Jinterface GigabitEthernet 0/0/2 

[Rl1-GigabitEthernet0/0/2]arp-proxy enable 

配置 完成 后 ， 测 试 PC-3 与 PC-1 间 的 连通 性 。 

PC>ping 10.1.1.1 

Ping 10.1.1.1: 32 data bytes, Press Ctrl_C to break 

From 10.1.1.1: bytes=32 seq=] ttl=127 time=47 ms 

From 10.1.1.1: bytes=32 seq=2 ttl=127 time=47 ms 

From 10.1.1.1; bytes=32 seq=3 ttl=127 time=62 ms 

From 10.1.1.1: bytes=32 seq=4 ttl=127 time=62 ms 

From 10.1.1.1: bytes=32 seq=5 ttl=127 time=78 ms 

--- 10.1.1.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 47/59/78 ms 


可 以 观察 到 ， 通 信和 正常 。 

如 果 人 P 网 络 过 大 ， 广 播 对 网 络 的 影响 也 相应 增 大 。 在 不 改变 网 络 主机 配置 的 情况 
下 ， 由 管理 员 在 网 络 中 透明 地 插入 一 台 路 由 器 ， 靠 路 由 器 分 割 出 多 个 广播 域 ， 降 低 了 
广播 对 网 络 的 影响 。 在 当前 的 IP 网 络 中 ， 此 种 做 法 并 不 多 见 。 其 缺点 是 主机 间 的 通信 


第 2 章 交换 机 基础 配置 55 


会 因为 引入 额外 的 路 由 器 而 延迟 增 大 ， 并 存在 着 瓶颈 问题 ， 所 以 一 般 只 作为 临时 解决 
方案 使 用 。 





, , 主机 间 的 IP 通信 并 不 会 对 自身 的 ARP 缓存 表 项 进行 刷新 ， 只 有 当主 机 间 交 互 
ARP 协议 消息 时 才 会 对 相应 ARP 缓存 表 项 子 以 刷新 。 
思考 


在 ARP 代理 开启 的 情况 下 ， 如 果 在 PC-2 上 ，ping 10.1.2.4 (10.1.2.4 主机 不 存在 )， 
icmp echo 报 文 是 在 PC-2 还 是 R1 路 由 器 丢掉 的 ? 为 什么 ? 
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VLAN 基 础 配置 及 Access 接 口 
配置 Trunk 接 口 

理解 Hybrid 接 口 的 应 用 

利用 单 辟 路 由 实现 VLAN 间 路 由 
利用 三 层 交 换 机 实现 VLAN 间 路 由 
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3.1 VLAN 基础 配置 及 Access 接口 


原理 概述 


早期 的 局 域 网 技术 是 基于 总 线 型 结构 的 。 总 线 型 拓扑 结构 是 由 一 根 单 电缆 连接 着 所 
有 主机 ， 这 种 局 域 网 技术 存在 着 冲突 域 问 题 ， 即 所 有 用 户 都 在 一 个 冲突 域 中 ， 那 么 同一 
时 间 内 只 有 一 台 主 机 能 发 送 消息 ， 从 任意 设备 发 出 的 消息 都 会 被 其 他 所 有 主机 接收 到 ， 
用 户 可 能 收 到 大 量 不 需要 的 报 文 ; 而 且 所 有 主机 共享 一 条 传输 通道 ， 任 意 主 机 之 间 都 可 
以 直接 互相 访问 ， 无 法 控制 信息 的 安全 。 

为 了 避免 冲突 域 ， 同 时 扩展 传统 局 域 网 以 接 入 更 多 计算 机 ， 可 以 在 局 域 网 中 使 用 二 
层 交 换 机 。 交 换 机 能 有 效 隔离 冲突 域 ， 但 是 由 于 所 有 计算 机 仍 处 于 同一 个 广播 域 ， 任 意 
设备 都 能 接收 到 所 有 报 文 ， 不 但 降低 了 网 络 的 效率 ， 而 且 降 低 了 安全 性 ， 即 广播 域 和 信 
息 安全 问题 依旧 存在 。 为 了 能 减少 广播 ， 提 高 局 域 网 安全 性 ， 人 们 使 用 虚拟 局 域 网 即 
VLAN 技术 把 一 个 物理 的 LAN 在 逻辑 上 划分 成 多 个 广播 域 。VLAN 内 的 主机 间 可 以 直 
接 通信 ， 而 VLAN 间 不 能 直接 互通 。 这 样 ， 广 播报 文 被 限制 在 一 个 VLAN 内 ， 同 时 也 
提高 了 网 络 安全 性 。 不 同 的 VLAN 使 用 不 同 的 VLAN ID 区 分 ，VLAN ID 的 范围 是 0 一 
4095， 可 配置 的 值 为 1 一 4094，0 和 4095 为 保留 值 。 

Access 接口 是 交换 机 上 用 来 连接 用 户主 机 的 接口 。 当 Access 接口 从 主机 收 到 一 个 不 
带 VLAN 标签 的 数据 帧 时 ， 会 给 该 数据 帧 加 上 与 PVID 一 致 的 VLAN 标签 (PVID 可 手 
工 配置 ， 默 认 是 1， 即 所 有 交换 机 上 的 接口 默认 都 属于 VLAN 1)。 当 Access 接口 要 发 送 
一 个 带 VLAN 标签 的 数据 帧 给 主机 时 ， 首 先 检查 该 数据 帧 的 VLAN ID 是 否 与 自己 的 
PVID 相同 ， 若 相同 ， 则 去 掉 VLAN 标签 后 发 送 该 数据 帧 给 主机 ; 若 不 相同 ， 直 接 丢 弃 
该 数据 帧 。 


实验 目的 


。 理解 VLAN 的 应 用 场景 

。 掌握 VLAN 的 基本 配置 

e 掌握 Access 接口 的 配置 方法 

e 掌握 Access 接口 加 入 相应 VLAN 的 方法 


实验 内 容 

本 实验 模拟 企业 网 络 场景 。 公 司 内 网 是 一 个 大 的 局 域 网 ， 二 层 交 换 机 S1 放置 在 一 
楼 ， 在 一 楼 办 公 的 部 门 有 IT 部 和 人 事 部 ， 二 层 交 换 机 S2 放置 在 二 楼 ， 在 二 楼 办 公 的 部 
门 有 市 场 部 和 研发 部 。 由 于 交换 机 组 成 的 是 一 个 广播 网 ， 交 换 机 连接 的 所 有 主机 都 能 互 
相通 信 ， 而 公司 策略 是 : 不 同 部 门 之 间 的 主机 不 能 互相 通信 ， 同 一 部 门 内 的 主机 才 可 以 
互相 访问 。 因 此 需要 在 交换 机 上 划分 不 同 的 VLAN， 并 将 连接 主机 的 交换 机 接口 配置 成 
Access 接口 划分 到 相应 VLAN 内 。 
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实验 拓扑 
VLAN 基础 配置 及 Access 接口 拓扑 如 图 3-1 所 示 。 
Sl S2 
Ethernet 0/0/1 Ethernet 0/0/5 Ethernet 0/0/2 
ma rat 
a Ethernet 0/0/1 2 Ethernet 0/0/5 Wms Ethernet 0/0/] Sm 
PC-5 
10 Ethemet 0/0/3 Ethemet 0/0/1 (npn 
Ethernet 0/0/2 
Ethernet 0/0/1 Ethernet 0/0/1 
Ethemet 0/0/1 
PC-3 PC-4 





图 3-1 VLAN 基础 配置 及 Access 接口 拓扑 















实验 编 址 
实验 编 址 见 表 3-1。 
表 3-1 
和 


上 
| Ethemetool | 10lll | 2552552550 | 
| EthemetO//1 | 10114 | 2552552550 | 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 进行 相应 的 基本 人 P 地 址 配置 ， 在 此 步骤 中 不 要 为 交换 机 创建 任何 的 
VLAN。 
使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 ， 所 有 的 PC 都 能 相互 通信 。 
[PC]ping -c 1 10.1.1.2 | 
PING 10.1.1.2: 56 data bytes, press CTRL _C to break | 
Reply from 10.1.1.2: bytes=56 Sequence=l ttl=255 time=50 ms ’ 
--- 10.1.1.2 ping statistics -~- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms | ; 
其 他 主机 间 互 相通 信 测 试 和 上 述 相同 ， 略 过 。 


es 

Wy 

站 EL 和 
sR 


” 站 
i 
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2. 创建 VLAN 

除 默认 VLAN 1 外 ， 其 余 VLAN 需要 通过 no 工 创建 。 创 建 VLAN 
式 ， 一 种 是 使 用 vlan 命令 一 次 创建 单个 VLAN, 男 一 种 方式 是 使 用 vlan batch 命令 一 
创建 多 个 VLAN。 

在 S1 上 使 用 两 条 命令 分 别 创建 VLAN 10 和 VLAN 20。 


[Sl]vlan 10 

[Sl-vlanlOl]vlan 20 

在 S2 上 使 用 一 条 vlan batch 命令 创建 VLAN 30 和 VLAN 40。 

[S2]vlan batch 30 40 

配置 完成 后 ， 在 S1 和 S2 上 使 用 display vlan 命令 查看 VLAN 的 相关 信息 。 
[S1]display vlan 

The total number of vlans js : 3 


U: Up; D: Down:; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:Eth0/0/1(D) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) 

Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 

Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 

Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 

Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 

Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 
10 common 
20 common 


[S2]display vlan 

The total number of a is:3 

U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 

#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:Eth0/0/1(D) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 

30 common 

40 common 


可 以 观察 到 ，S1 和 S2 都 已 经 成 功 创建 了 相应 VLAN， 但 目前 没有 任何 接口 加 入 所 
创建 的 VLAN 10 与 20 中 ， 默 认 情 况 下 交换 机 上 所 有 接口 都 属于 VLAN 1。 

3. 配置 Access 接口 

按照 拓扑 ， 使 用 port link-type access 命令 配置 所 有 S1 和 S2 交换 机 上 连接 PC 的 接 
口 类 型 为 Access 类 型 接口 , 并 使 用 port default vlan 命令 配置 接口 的 默认 VLAN 并 同时 
加 入 相应 VLAN 中 。 默 认 情 况 下 ， 所 有 接口 的 默认 VLAN ID 为 1。 
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[Sllinterface ethernet0/0/1 
[S1-Ethernet0/0/1]port link-type access 
[S1-Ethernet0/0/1 lport default vlan 10 
[S1-Ethernet0/0/1]interface ethernet0/0/2 
[SI-Ethernet0/0/2]port link-type access 
[S1-Ethernet0/0/2]port default vlan 10 
[S1-Ethermet0/0/2]interface ethernet0/0/3 
[S1-Ethernet0/0/3]port link-type access 
[S1-Ethernet0/0/3]port default vlan 20 


[S2]Jinterface ethernet0/0/1 

[S2-Ethemet0/0/1]port link-type access 

[S2-Ethernet0/0/1]port default vlan 30 

[S2-Ethernet0/0/1 linterface ethernet0/0/2 

[S2-Ethemet0/0/2]port link-type access 

[S2-Ethernet0/0/2]port default vlan 40 

配置 完成 后 ， 查 看 S1 与 S2 上 的 VLAN 信息 。 


[Slldisplay vlan 
The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 


#: ProtocolTransparent-vlan; *: Management-vian; 


VID Type Ports 


1 common UTEth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) 
Eth0/0/8(D) Eth0/0/9(D) Ethi0/0/10(D) Eth0/0/11(D) 
Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) 
Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) 
Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) 
GE0/0/2(D) 

10 common UT:Eth0/0/1(D) Eth0/0/2(D) 


20 common UT:Eth0/0/3(D) 


[S2]display vlan 
The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *#: Management-vlan; 


1 common UT:Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) 
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) 
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) 
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) 
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 
GE0/0/1(D) GE0/0/2(D) 


30 common UT:Eth0/0/1(D) 
40 common UT:Eth0/0/2(D) 


可 以 观察 到 , 目前 两 台 交换 机 上 连接 PC 的 接口 都 已 经 加 入 到 相应 所 属 部 门 的 VLAN 
当中 。 

4. 检查 配置 结果 

在 交换 机 上 将 不 同 接 口 加 入 各 自 不 同 的 VLAN 中 后 ， 属 于 相同 VLAN 的 接口 处 于 
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同一 个 广播 域 ， 相 互 之 间 可 以 直接 通信 。 属 于 不 同 VLAN 的 接口 是 处 于 不 同 的 广播 域 ， 
相互 之 间 不 能 直接 通信 。 

在 本 实验 环境 中 ， 只 有 同属 于 IT 部 门 VYLAN 10 的 两 台 主 机 PC-1 和 PC-2 之 间 可 以 
互相 通信 。 其 他 不 同 部 门 间 的 PC 之 间 将 无 法 通信 。 

在 IT 部 门 的 终端 PC-1 上 分 别 测试 与 同 部 门 的 终端 PC-2、HR 部 门 的 PC-3 间 的 连通 性 。 


PC>ping -c 1 10.1.1.2 
DING 10.0.1.2: 56 ni cic we he ea 





-一 10. 12 Di 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 


PC>ping 10.1.1.3 

From 0.0.0.0: Destination host unreachable 
From 0.0.0.0: Destination host unreachable 
From 0.0.0.0: Destination host unreachable 
From 0.0.0.0: Destination host unreachable 
a 0.0.0.0: Destination host Eee 


可 以 观察 到 ， 相同 VLAN 内 的 PC 可 以 互相 通信 , 不 同 VLAN 内 的 PC 间 无 法 通信 。 
思考 


在 本 实验 中 ， 如 果 将 S2 的 接口 E 0/0/5 配置 为 Access 类 型 接口 ， 并 划 入 VLAN 30 
中 ， 此 时 PC-1 能 否 ping 通 PC-4? PC-1 能 否 ping 通 PC-5? 为 什么 ? 


3.2 配置 Trunk 接口 


原理 概述 


在 以 太 网 中 ， 通 过 划分 VLAN 来 隔离 广播 域 和 增强 网 络 通信 的 安全 性 。 以 太 网 通常 由 
多 台 交 换 机 组 成 ， 为 了 使 VLAN 的 数据 帧 跨越 多 台 交 换 机 传递 ， 交 换 机 之 间 互 连 的 链 路 需 
要 配置 为 干道 链 路 (Trunk Link)。 和 接 入 链 路 不 同 ， 干 道 链 路 是 用 来 在 不 同 的 设备 之 间 〈 如 
交换 机 和 路 由 器 之 间 、 交 换 机 和 交换 机 之 间 ) 承载 多 个 不 同 VLAN 数据 的 ， 它 不 属于 任何 一 
个 具体 的 VLAN， 可 以 承载 所 有 的 VLAN 数据 ， 也 可 以 配置 为 只 能 传输 指定 VLAN 的 数据 。 

Trunk 端口 一 般 用 于 交换 机 之 间 连 接 的 端口 ， 可 以 接收 和 发 送 多 个 VLAN 的 报 文 。 

当 Trunk 端口 收 到 数据 帧 时 , 如 果 该 帧 不 包含 802.1Q 的 VLAN 标签 ,将 打上 该 Trunk 
端口 的 PVID;， 如 果 该 帧 包含 802.1Q 的 VLAN 标签 ， 则 不 改变 。 

当 Trunk 端口 发 送 数据 帧 时 ， 当 该 所 发 送 帧 的 VLAN ID 与 端口 的 PVID 不 同时 , 检 
查 是 否 允 许 该 VLAN 通过 ， 若 允许 的 话 直接 透 传 ， 不 允许 就 直接 丢弃 ; 当 该 帧 的 VLAN 
ID 与 端口 的 PVID 相同 时 ， 则 剥离 VLAN 标签 后 转发 。 
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实验 目的 

。 理解 干道 链 路 的 应 用 场景 

。 掌握 Trunk 端口 的 配置 

。 掌握 Trunk 端口 允许 所 有 VLAN 通过 的 配置 方法 

。 掌握 Trunk 端口 允许 特定 VLAN 通过 的 配置 方法 
实验 内 容 

本 实验 模拟 某 公 司 网 络 场景 。 公 司 规模 较 大 ， 员 工 200 余 名 ， 内 部 网 络 是 一 个 大 的 
局 域 网 。 公 司 放置 了 多 台 接 入 交换 机 (如 S1 和 S2) 负责 员工 的 网 络 接 入 。 接 入 交换 机 
之 间 通 过 汇聚 交换 机 S3 相连 。 公 司 通 过 划分 VLAN 来 隔离 广播 域 ， 由 于 员工 较 多 ， 相 
同 部 门 的 员工 通过 不 同 交换 机 接 入 。 为 了 保证 在 不 同 交 换 机 下 相同 部 门 的 员工 能 互相 通 
信 ， 需 要 配置 交换 机 之 间 链 路 为 干道 模式 ， 以 实现 相同 VLAN 跨 交 换 机 通信 。 
实验 拓扑 

跨 交 换 机 实现 VLAN 间 通 信 的 拓扑 如 图 3-2 所 示 。 
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> GE 0/0/2 









GE 0/0/1 


Ethernet 0/0/1 Ethernet 0/0/2 


Si RE 






Ethernet 0/0/2 Ethemet 0/0/4 


Ethernet 0/0/3 Ethemet 0/0/3 
Ethernet 0/0/1 


Ethernet 0/0/1 Ethemet 0/0/1 Ethemet 0/0/1 


研发 部 市 场 部 研发 部 














PC-1 PC-2 PC-3 PC-4 
101LTVLAN10 10.1.1.2 VLAN 20 10.1.1.3 VLAN 10 10.1.1.4 VLAN 20 
图 3-2 跨 交换 机 实现 VLAN 间 通 信和 拓扑 


实验 编 址 
实验 编 址 见 表 3-2。 
表 3-2_ _ 实 验 编 址 


Ethernet 0/0/1 


Ethernet 0/0/1 
Ethernet 0/0/1 
Ethernet 0/0/1 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 在 没有 完成 划分 VLAN 之 前 各 PC 之 间 都 能 互通 (属于 默认 VLAN 1)。 
这 里 以 PC-1 与 PC-3 的 ping 测试 为 例 ， 其 余 省 略 。 
PC>ping 10.1.1.3 
Ping 10.1.1.3: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.3: bytes=32 seq=] ttl=128 time=62 ms 
From 10.1.1.3: bytes=32 seq=2 ttl=128 time=62 ms 
From 10.1.1.3: bytes=32 seq=3 tt=128 time=62 ms 
From 10.1.1.3: bytes=32 seq=4 ttj=128 time=78 ms 
From 10.1.1.3: bytes=32 seq=5 tt=128 time=78 ms 
--- 10.1.1.3 ping statistics -一 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/68/120 ms 
2. 创建 VLAN， 配 置 Access 接口 
公司 内 网 需要 通过 VLAN 的 划分 来 隔离 不 同 的 部 门 ， 需 要 在 3 台 交 换 机 S1、S2、S3 
上 都 分 别 创建 VLAN 10 和 VLAN 20, 研 发 部 员工 属于 VLAN 10, 市 场 部 员工 属于 VLAN 20。 
[Sljvlan 10 
[Sl-vlanlOldescription RSD 
[S1-vlan10jvlan 20 
[S1-vlan20]description Market 


[S21vlan 10 
[S2-vlan10]description RSD 
[S2-vlan10]vlan 20 
[S2-vlan20]description Market 


[S3]vlan 10 
[S3-vlan10]description RSD 
[S3-vlan10]vlan 20 
[S3-vlan20]description Market 


配置 完成 后 ， 使 用 display vlan 命令 查看 所 配置 的 VLAN 信息 ， 以 S3 为 例 。 


<S3>display vlan 
The total number ofvlansis :3 


U: Up; D: Downi; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GEQ/0/5(D) GEO/0/6(D) GE0/0/7(D) GEO/0/8(D) 
GE0/0/9(D) GEO/0/10(D) GEO/0/11(D) GE0/0/12(D) 
GEO/0/13(D) GE0/0/14(D) GEO/0/15(D) GE0/0/16(D) 
GEO/O/I7(D) ~ GE0/0/18(D) GE0/0/19D) GE0/0/20(D) 
GEO/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 
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10 common 
20 common 


VID Status Property MAC-LRN Statistics 


1 enable default enable disable 
10 enable default enable disable 
20 enable default "enable disable 


Description 
VLAN 0001 


Market 


可 以 观察 到 相关 的 VLAN 都 已 经 配置 好 。 也 可 以 使 用 display vlan summary 命令 查 


看 所 配置 VLAN 的 简要 信息 。 


<S3>display vlan summary 
static vlan: 
Total 3 static vlan. 
11020 
dynamic vlan: 
Total 0 dynamic vlan. 
reserved vlan: 
Total 0 reserved vlan. 


在 Sl1 上 配置 E0/0/2 和 E0/0/3 为 Access 接口 ， 并 划分 到 相应 的 VLAN。 


[Silinterface Ethernet0/0/2 
[S1-Ethernet0/0/2]port link-type access 
[S1-Ethernet0/0/2]port default vlan 10 


[S1]interface Ethernet0/0/3 
[S1-Ethernet0/0/3]port link-type access 
[S1-Ethernet0/0/3]portdefault vlan 20 


在 S2 上 配置 E 0/0/3 和 E 0/0/4 为 Access 接口 ， 并 划分 到 相应 的 VLAN。 


[S2]interface Ethernet0/0/3 
[S2-Ethernet0/0/3]Jport link-type access 
[S2-Ethernet0/0/3]port default vlan 10 


[S2]interface Ethernet0/0/4 
[S2-Ethernet0/0/4]port link-type access 
[S2-Ethernet0/0/4]port default vlan 20 


配置 完成 后 ， 使 用 display port vlan 命令 检查 VLAN 和 接口 配置 情况 。 


[Slldisplay port vlan 

Port Link Type PVID Trunk VLAN List 
EthernetO/O/1 hybrid 

EthernetO/0/2 access = 

Ethernet0/0/3 access 00 = 

[S2]display port vlan 

Port LinkType PVID Trunk VLAN List 
Ethernet0/0/1 hybrid } - 

Ethernet0/0/2 hybrid 1 

Ethemet0/0/3 access 10 

Ethermnet0/0/4 access 20 - 


可 以 观察 到 PC 所 连接 的 交换 机 接口 都 已 经 被 配置 成 Access 模式 ， 并 且 已 经 加 入 到 


了 正确 的 VLAN 中 。 
3. 配置 Trunk 接口 


将 PC 所 连 入 的 交换 机 接口 划 入 到 相应 的 部 门 VLAN 后 ， 测 试 相同 部 门 中 的 PC 是 


否 能 够 通信 。 
测试 PC-1 与 PC-3 之 间 的 连通 性 。 
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PC>ping 10.1.1.3 

Ping 10.1.1.3: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.1: Destination host unreachable 
From 10.1.1.1: Destination host unreachable 
From 10.1.1.1: Destination host unreachable 

From 10.1.1.1: Destination host unreachable 
From 10.1.1.1: Destination host unreachable 


测试 PC-2 与 PC-4 之 间 的 连通 性 。 

PC>ping 10.1.1.4 

Ping 10.1.1.4: 32 data bytes, Press Ctrl C to break 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 六 
From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 


可 以 观察 到 此 时 同 部 门 的 PC 间 不 能 通信 。 

目前 在 该 跨 交 换 机 实现 相同 VLAN 通信 的 二 层 组 网 拓扑 中 ， 虽 然 与 PC 端 相 连 的 交 
换 机 接口 上 创建 并 划分 了 VLAN 信息 , 但 是 在 交换 机 与 交换 机 之 间 相 连 的 接口 上 并 没有 
相应 的 VLAN 信息 ， 不 能 够 识别 和 发 送 跨越 交换 机 的 VLAN 报 文 ， 此 时 VLAN 只 具有 
在 每 台 交 换 机 上 的 本 地 意义 ， 无 法 实现 相同 VLAN 的 跨 交 换 机 通信 。 

为 了 让 交换 机 间 能 够 识别 和 发 送 跨越 交换 机 的 VLAN 报 文 , 需要 将 交换 机 间 相 连 的 接口 
配置 成 为 Trunk 接口 。 配 置 时 要 明确 被 允许 通过 的 VLAN， 实 现 对 VLAN 流量 传输 的 控制 。 

在 S1 上 配置 E0/0/1 为 Trunk 接口 ， 允 许 VLAN 10 和 VLAN 20 通过 。 

[SlJinterface Ethemet0/0/1 

[S1-Ethernet0/0/1]port link-type trunk 

IS1-Ethernet0/0/1]port trunk allow-pass vlan 10 20 

在 S2 上 配置 E 0/0/2 为 Trunk 接口 ， 允 许 VLAN 10 和 VLAN 20 通过 。 


[S2]interface Ethernet0/0/2 

[S$2-Ethernet0/0/2]port link-type trunk 

[S$2-Ethernet0/0/2]port trunk allow-pass vlan 10 20 

在 S3 上 配置 GE 0/0/1 和 GE 0/0/2 为 Trunk 接口 ， 允 许 所 有 VLAN 通过 。 
[S3jinterface GigabitEthernet0/0/1 

[S$3-GigabitEthernet0/0/1]port link-type trunk 

[S$3-GigabitEthernet0/0/1]port trunk allow-pass vlan all 


[S3]interface GigabitEthernet0/0/2 
[S3-GigabitEthernet0/0/2]port link-type trunk 
[S3-GigabitEthernet0/0/2]port trunk allow-pass vlan all 


配置 完成 后 可 以 使 用 display port vlan 命令 来 检查 Trunk 的 配置 情况 , 这 里 以 S3 为 例 。 


[S3]display port vlan 

Port Link Type = PVID Trunk VLAN List ~ 
GigabitEthernetO/0/1 trunk 1 1-4094 hs 
GigabitEthernet0/0/2 trunk 1-4094 2 


可 以 观察 到 S3 的 GE 0/0/1 和 GE0/0/2 已 被 成 功 配置 为 Trunk 接口 ， 并 且 人 允许 所 有 
VLAN 流量 通过 (VLAN 1 一 4094)。 

再 次 验证 不 同 交 换 机 上 的 相同 部 门 的 PC 间 的 连通 性 。 

测试 PC-1 与 PC-3 之 间 的 连通 性 。 
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PC>ping 10.1.1.3 
Ping 10.1.1.3: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.3: bytes=32 seq=] ttl=128 time=46 ms 
From 10.1.1.3: bytes=32 seq=2 ttl=128 time=78 ms 
From 10.1.1.3: bytes=32 seq=3 ttl=]28 time=78 ms 
From 10.1.1.3: bytes=32 seq=4 ttl=128 time=46 ms 
From 10.1.1.3: bytes=32 seq=5 ttll=128 time=47 ms 
-10.1.1.3 ping statistics -一 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss. 
round-trip min/avg/max = 30/68/120 ms 
测试 PC-2 与 PC-4 之 间 的 连通 性 。 
PC>ping 10.1.1.4 
Ping 10.1.1.4: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.4: bytes=32 seq=] ttl=128 time=46 ms 
From 10.1.1.4: bytes=32 seq=2 tt=128 time=47 ms 
From 10.1;1.4: bytes=32 seq=3 ttl=128 time=46 ms 
From 10.1.1.4: bytes=32 seq=4 tt}=128 time=78 ms 
From 10.1.1.4: bytes=32 seq=5 ttl=128 time=63 ms 
— 10.1.1.4 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 
round-trip min/avg/max = 30/68/120 ms 


可 以 观察 到 此 时 同 部 门 中 的 PC 已 经 能 成 功 通信 。 





“在 华为 S 系列 交换 机 上 ， 当 Trunk 接口 收 到 带 有 vlan tag 的 数据 帧 ， 但 末 机 没有 
创建 与 该 vlan tag 数据 帧 中 所 携带 的 vlan id 一 致 的 vlan 时 ， 会 对 数据 帧 做 丢弃 处 理 。 
思考 

连接 PC 的 交换 机 接口 也 可 以 配置 成 Trunk 接口 吗 ? 为 什么 ? 


3.3 理解 Hybrid 接口 的 应 用 


原理 概述 


Hybrid 接口 既 可 以 连接 普通 终端 的 接 入 链 路 又 可 以 连接 交换 机 间 的 干道 链 路 ， 它 人 允 
许多 个 VLAN 的 帧 通过 ， 并 可 以 在 出 接口 方向 将 某 些 VLAN 帧 的 标签 剥 掉 。 

Hybrid 接口 处 理 VLAN 帧 的 过 程 如 下 : 

(1) 收 到 一 个 二 层 帧 ， 判 断 是 否 有 VLAN 标签 。 没 有 标签 ， 则 标记 上 Hybrid 接口 
的 PVID， 进 行 下 一 步 处 理 ， 有 标签 ， 判 断 该 Hybrid 接口 是 否 人 允许 该 VLAN 的 帧 进入 ， 
允许 则 进行 下 一 步 处 理 ， 和 否则 丢弃 。 

(2) 当 数 据 帧 从 Hybrid 接口 发 出 时 , 交换 机 判断 VLAN 在 本 接口 的 属性 是 Untagged 
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还 是 Tagged。 如 果 是 Untagged， 先 剥离 帧 的 VLAN 标签 ， 再 发 送 ; 如 果 是 Tagged， 则 
直接 发 送 帧 。 

通过 配置 Hybrid 接口 ， 能 够 实现 对 VLAN 标签 的 灵活 控制 ， 既 能 够 实现 Access 接 
口 的 功能 ， 又 能 够 实现 Trunk 接口 的 功能 。 


实验 目的 


。 掌握 配置 Hybrid 接口 的 方法 

。 理解 Hybrid 接口 处 理 Untagged 数据 帧 过 程 
。 理解 Hybrid 接口 处 理 Tagged 数据 帧 过 程 

。 理解 Hybrid 接口 的 应 用 场景 


实验 内 容 


某 企 业 二 层 网 络 使 用 两 台 S3700 交换 机 S1 和 S2， 且 两 台 设备 在 不 同 的 楼 层 。 网 络 
管理 员 规划 了 3 个 不 同 VLAN，HR 部 门 使 用 VLAN 10， 市 场 部 门 使 用 VLAN 20, IT 部 
门 使 用 VLAN 30。 现 在 需要 让 处 于 不 同 楼 层 的 HR 部 门 和 市 场 部 门 实现 部 门 内 部 通信 ， 
而 两 部 门 之 间 不 允许 互相 通信 ; IT 部门 可 以 访问 任意 部 门 。 可 以 通过 配置 Hybrid 接口 
来 实现 较 复 杂 的 VLAN 控制 。 


实验 拓扑 
理解 Hybrid 接口 的 应 用 拓扑 如 图 3-3 所 示 。 





Ethernet 0/0/1 肪 
Ethemet 0/0/2 







Ethernet 0/0/2 Ethernet 0/0/3 


Ethernet 0/0/1 


Ethernet 0/0/1 





Ethermet 0/0/1 


3-3 ”理解 Hybrid 接口 的 应 用 拓扑 
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实验 编 址 


实验 编 址 见 表 3-3。 


表 3-3 实验 编 址 
PP 地 址 | 子 网 接 码 
Ethernet 0/0/1 192.168.1.1 255.255.255.0 
Ethernet 0/0/1 192.168.1.2 四 5:.255.255.0 


Ethernet 0/0/1 192.168.1.3 255.255.255.0 
Ethernet 0/0/1 192.168.1.4 255.255.235.0 
Ethernet 0/0/1 192.168.1.100 255.235.255.0 





实验 步骤 


1. 基本 配置 
按照 实验 编 址 表 为 PC 配置 IP 地 址 ， 如 图 3-4 所 示 的 配置 过 程 适用 于 所 有 终端 。 











| 
| 
| 
| 
4 
| 
a 


以 _ ne 


图 3-4 PC-1 配置 界面 


完成 配置 后 ， 测 试 主机 之 间 的 连通 性 。 
在 PC-1 上 ， 使 用 ping 命令 。 
PC>ping 192.168.1.2 
Ping 192.168.1.2: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.2: bytes=32 seq=] ttl=128 time=15 ms 
From 192.168.1.2: bytes=32 seq=2 tt=128 time<1l ms 
From 192.168.1.2: bytes=32 seq=3 ttl=128 time<l ms 
From 192.168.1.2: bytes=32 seq=4 ttl=128 time=15 ms 
From 192.168.1.2: bytes=32 seq=5 ttl=128 time<] ms 
-一 192.168.1.2 ping statistics --- 

5 packet(s) transmitted = 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/6/15 ms 
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可 以 观察 到 ， 此 时 PC-1 访问 其 他 主机 通信 正常 ， 其 他 主机 上 的 测试 过 程 省 略 。 

在 没有 定义 VLAN 及 接口 类 型 之 前 ， 默 认 情况 下 ， 交 换 机 上 上 所 有 接口 都 是 Hybrid 
类 型 ， 接 口 的 PVID 是 VLAN 1， 即 所 有 接口 收 到 没有 标签 的 二 层 数 据 帧 ， 都 被 转发 到 
VLAN 1 中 ， 并 继续 以 Untagged 的 方式 把 帧 发 送 至 同 为 YLAN 1 的 其 他 接口 。 所 以 ， 即 
使 未 做 任何 配置 ， 主 机 之 间 默 认 仍 然 可 以 互相 通信 。 

在 S1 上 使 用 display port vlan 命令 查看 接口 的 默认 类 型 。 


<S1>display port vlan 

Port Link Type ~ PVID Trunk VLAN List 
Ethernet0/0/1 hybrid 1 - 

Ethernet0/0/2 hybrid 1 

Ethernet0/0/3 hybrid 1 

Ethernet0/0/4 hybrid 1 

Ethernet0/0/5 hybrid 1 

Ethernet0/0/6 hybrid 1 


可 以 观察 到 ， 接 口 默认 是 Hybrid 类 型 ， 接 口 PVID 是 VLAN 1， 其 他 接口 也 一 样 。 
在 交换 机 上 使 用 display vlan 命令 查看 接口 和 所 属 VLAN 的 对 应 关系 。 

[Sl]display vlan 

The total number of vlans is : 1 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking:; 
#: ProtocolTransparent-vlan; *#: Management-vlan; 


1 common UT:EthO/0/1(U) EthO/0/2(U) Eth0/0/3(U) Eth0/0/4(U) 
EthO/0/5(D) Eth0/0/6(D) EthO/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) ~ Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
EthO/0/17(D) EthO/0/18(D) ~ Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) * GE0/0/2(D) 


VID Statas Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 


可 以 观察 到 ， 所 有 接口 都 默认 属于 VLAN 1， 其 他 交换 机 也 都 一 样 ， 因 此 VLAN 1 
内 所 有 的 主机 都 可 以 直接 访问 。 

2， 实 现 组 内 通信 、 组 间隔 离 

交换 机 接口 的 类 型 可 以 是 Access、Trunk 和 Hybrid。Access 类 型 的 接口 仅 属 于 一 个 
VLAN， 只 能 接收 、 转 发 相应 VLAN 的 帧 ;而 Trunk 类 型 接口 则 默认 属于 所 有 VLAN， 
任何 Tagged 帧 都 能 经 过 Trunk 接收 和 转发 ;Hybrid 类 型 接口 则 介 于 二 者 之 间 , 可 自主 定 
义 端口 上 能 接收 和 转发 哪些 VLAN Tag 的 帧 ， 并 可 决定 VLAN Tag 是 否 继续 携带 或 者 剥 
离 。Access 和 Trunk 类 型 接口 是 Hybrid 类 型 接口 的 两 个 特例 ， 一 个 仅 支 持 一 个 VLAN 
的 传递 ,一 个 默认 支持 所 有 VLAN 的 传递 , 而 Access 类 型 和 Trunk 类 型 的 接口 能 做 到 的 ， 
Hybrid 接口 都 能 做 到 。 

目前 要 求实 现 HR 部 门 和 市 场 部 门 的 员工 终端 可 以 进行 部 门 内 部 通信 , 即 VLAN 10 
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内 PC-2 和 PC-4 之 间 可 以 自由 访问 , VLAN 20 内 PC-1 和 PC-3 之 间 可 以 自由 访问 , 而 两 
个 部 门 间 的 员工 不 能 互相 访问 ， 即 VLAN 10 和 VLAN 20 之 间 不 能 互相 访问 。 要 实现 此 
需求 ， 可 以 使 用 Access 和 Trunk 的 配置 方法 ， 也 可 以 仅 使 用 Hybrid 的 配置 方法 。 

使 用 Trunk 和 Access 类 型 接口 的 配置 过 程 如 下 。 

将 S1 十 的 E 0/0/2 和 S2 上 的 E 0/0/2 配置 为 Access 类 型 ， 并 将 相应 的 接口 加 入 到 
VLAN 20。 同 理 ， 将 S1 上 的 E 0/0/3 和 S2 上 的 E 0/0/3 也 配置 为 Access 类 型 接口 ， 并 
加 入 到 VLAN 10。 而 交换 机 之 间 的 互 连 链 路 的 两 个 E 0/0/1 接口 则 配置 为 Trunk 类 型 。 


[S1]vlan 10 
[S1-vlan10]vlan 20 

[Sl-vlan20]interface Ethernet0/0/3 
[S1-Ethernet0/0/3]port link-type access 
[S1-Ethernet0/0/3]port default vlan 10 
[S1-Ethernet0/0/3]interface ethernet0/0/2 
[S1-Ethernet0/0/2]port link-type access 
[S1-Ethernet0/0/2]port default vlan 20 
[S1-Ethernet0/0/2]interface Ethernet0/0/1 
[S$1-Ethernet0/0/1]port link-type trunk 
[S1-Ethernet0/0/1]port trunk allow-pass vlan all 


[S2]vlan 10 
[S2-vianl0]vlan 20 

[S2-vlanlOlinterface Ethernet0/0/3 

[S2-Ethernet0/0/3]port link-type access 

[S2-Ethernet0/0/3]port default vlan 10 

[S2-Ethernet0/0/3jinterface ethermnet0/0/2 

[S2-Ethernet0/0/2]port link-type access 

[S2-Ethernet0/0/2]port default vlan 20 

[S2-Ethermet0/0/2]interface ethernet0/0/1 

[S2-Ethernet0/0/11]port link-type trunk 

[S2-Ethernet0/0/1]port trunk ailow-pass vlan all 

配置 完成 后 ， 查 看 接口 和 VLAN 的 对 应 关系 。 
[Slldisplay vlan 

The total number of vlans is : 3 

U: UP; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 

#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:Eth0/0/1(U) Eth0/0/4(U) Eth0/0/5(D) Eth0/0/6(D) 
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) 
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) 
Eth0/0/15(D) Eth0/0/16(D) ~ Eth0/0/17(D) Eth0/0/18(D) 
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 
GE0/0/1(D) GE0/0/2(D) 

10 common UT:Eth0/0/3(U) 

20 common UT:Eth0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 


20 enable default enable disable VLAN 0020 
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[S2]display vlan 

The total number of vlans is : 3 

U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 

#: Protocol Transparent-vlan; *#: Management-vlan: 


1 common UT:EthO/0/1(U) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) 
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) 
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) 
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) 
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 
GEO0/0/1(D) GE0/0/2(D) 

10 common UT:Eth0/0/3(U) 

20 common UT:Eth0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 ， 配 置 已 经 生效 。 
在 PC-1 上 测试 与 同 VLAN 20 的 PC-3 的 连通 性 , 以 及 与 VLAN 10 内 终端 的 连通 性 。 
PC>ping 192.168.1.3 
Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break 
From 192.168.1,3: bytes=32 seq=1 ttl=128 time=47 ms 
From 192.168,1,3: bytes=32 seq=2 ttl=128 time=31 ms 
From 192.168.1.3: bytes=32 seq=3 ttl=128 time=46 ms 
From 192.168.1.3: bytes=32 seg=4 tt=128 time=31 ms 
From 192.168.1.3: bytes=32 seq=5 ttl=128 time=31 ms 
~- 192.168.1.3 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/37/47 ms 


PC>ping 192.168.1.4 

Ping 192.168.1.4; 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 

From 192.168.1.1: Destination host unreachable 


wen 


可 以 观察 到 , 在 单 台 交换 机 及 跨 交 换 机 间 的 访问 控制 使 用 Trunk 和 Access 类 型 接口 
实现 了 需求 ， 但 同样 的 需求 使 用 Hybrid 实现 会 更 灵活 。 

S1 的 E 0/0/2 接口 连接 PC-1 主机 , 该 接口 收 到 的 PC-1 发 送 的 Untagged 的 帧 会 被 交 
换 机 转发 到 VLAN 20。 同样 , 交换 机 从 其 他 接口 收 到 VLAN 20 的 发 往 PC-1 的 帧 也 会 以 
Untagged 的 方式 从 EE 0/0/2 接口 发 送 。S1 的 E 0/0/3 接口 连接 PC-2 主机 ， 该 接口 收 到 
Untagged 的 帧 会 被 转发 到 VLAN 10。 如 果 交 换 机 收 到 的 VLAN 10 的 发 往 PC-2 的 帧 也 会 
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以 Untagged 的 方式 从 接口 E 0/0/3 发 送 。VLAN 10 和 VLAN 20 的 帧 也 要 经 过 交换 机 间 
链 路 发 送 至 邻居 交换 机 S2。 反 之 ，S1 收 到 来 自 邻 居 交 换 机 S2 的 Tagged 的 帧 后 ， 也 会 
根据 VLAN Tag 转发 到 相应 的 VLAN。 

在 Sl 的 E0/0/2 接口 上 使 用 undo port default vlan 命令 用 来 恢复 接口 默认 VLAN。 


[Sljinterfaee ethernet0/0/2 
[S1-Etheret0/0/2]undo port default vlan 


配置 port link-type hybrid 命令 修改 接口 类 型 为 默认 的 Hybrid 类 型 。 

[S1-Etheret0/0/2Jport link-type hybrid 

配置 port hybrid untagged vlan 20 命令 使 得 交换 机 在 该 接口 转发 VLAN 20 的 帧 时 ， 
剥离 掉 相 应 的 VLAN Tag 20， 以 Untagged 的 方式 发 送 给 PC。 


[S1-Ethernet0/0/2]port hybrid untagged vlan 20 
配置 port hybrid pvid vlan 20 命令 设置 Hybrid 类 型 接口 的 默认 VLAN ID， 即 使 


得 该 端口 上 接收 到 PC 发 来 的 未 带 VLAN Tag 的 帧 时 ， 加 上 VLAN Tag 20， 并 转发 到 


VLAN 20。 
[S1-Ethernet0/0/2]port hybrid pvid vlan 20 


同样 在 连接 男 一 台 终 端的 E 0/0/3 接口 做 同样 配置 。 
[Sllinterface ethernet0/0/3 

[S1-Ethernet0/0/3]undo port default vlan 

[S1-Ethernet0/0/3]port link-type hybrid 

[S1-Ethernet0/0/3]port hybrid untagged vlan 10 

[S1-Ethermet0/0/3]port hybrid pvid vlan 10 


在 连接 交换 机 S2 的 E O/O/1 接 口上 修改 端口 类 型 为 默认 的 Hybrid 类 型 ,并 使 用 port hybrid 
tagged vlan 10 20 命令 设置 该 链 路 仅 接收 带 有 VLAN Tag 10 和 20 的 帧 ， 而 交换 机 也 仅 转 发 
VLAN 10 和 VLAN 20 的 帧 到 该 链 路 。 一 般 该 命令 配置 在 交换 机 互 连 的 链 路 接口 之 上 。 


[Sl]interface ethernet0/0/1 

[S1-Ethernet0/0/1]port trunk allow-pass vlan 1 

[S1-Ethernet0/0/1]undo port trunk allow-pass vlan 2 to 4094 

[S1-Ethernet0/0/1]port link-type hybrid 

[S1-Ethernet0/0/1 ]port hybrid tagged vlan 10 20 

S2 交换 机 将 在 E 0/0/1 接口 接收 到 的 Tagged 帧 ,根据 VLAN Tag 标识 , 向 接口 E 0/0/2 
转发 VLAN 20 的 帧 ， 向 接口 E 0/0/3 VLAN 10 的 帧 。 反 之 ， 接 口 E 0/0/2 接收 到 PC 
发 送 的 未 带 Tag 的 帧 转发 到 VLAN 20， 端 口 E 0/0/3 接收 的 到 未 带 Tag 的 帧 会 被 转发 到 
VLAN 10， 并 且 这 些 帧 发 送 到 邻居 交 暴 机 Sl 时 ， 会 保留 原 有 Tag。 


S2 上 的 配置 和 SI 类 似 ， 这 里 不 再 解释 。 


[S2]interface ethernet0/0/2 
[S2-Ethernet0/0/2]undo port default vlan 
[S2-Ethernet0/0/2]port link-type hybrid 
[S2-Ethernet0/0/2]port hybrid untagged vlan 20 
[S2-Ethermet0/0/2]port hybrid pvid vlan 20 
[S2-Ethernet0/0/2]interface ethernet0/0/3 
[S2-Ethernet0/0/3]undo port default vlan 
[S2-Ethernet0/0/3]port link-type hybrid 
[S2-Ethernet0/0/3]port hybrid untagged vlan 10 
[S2-Ethernet0/0/3]port hybrid pvid vlan 10 
[$2-Ethernet0/0/3]interface ethernet 0/0/1 
[S2-Ethermet0/0/1]port trunk allow-pass vlan 1 
[S2-Ethernet0/0/1jundo port trunk allow-pass vlan 2 to 4094 
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[S2-Ethernet0/0/1]port link-type hybrid 
[$2-Ethernet0/0/1]port hybrid tagged vlan 10 20 


配置 完成 后 , 使 用 display vlan 命令 查看 使 用 Hybrid 配置 下 接口 和 VLAN 的 对 应 关系 。 


[Sl]display vlan 
The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *: Management-vlan; 


1 common UT:EthO/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(U) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) * Eth0/0/8(D) - 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) ~ Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 
10 common UT:Eth0/0/3(U) 


TG:Eth0/0/1(U) 

20 common UT:Eth0/0/2(U) 

TG:Eth0/0/1(U) 
VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 
[S2]display vlan 


The total number of vlansis :3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(D) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) ~ Eth0/0/10(D) Eth0/0/11(D) - Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 
10 common UT:Eth0/0/3(U) 


TG:Eth0/0/1(U) 
20 common UT:Eth0/0/2(U) 

TG:Eth0/0/1(U) 
VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 , 同样 的 需求 , Hybrid 和 Access、Trunk 都 能 实现 (测试 省 略 ), 但 Hybrid 
的 灵活 性 及 解决 复杂 需求 的 能 力 是 Access 和 Trunk 达 不 到 的 。 
3， 实 现 网 管 员 对 所 有 网 络 的 访问 
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在 实现 各 部 门 内 部 终端 可 以 互相 访问 ， 不 同 部 门 间 的 终端 隔离 访问 后 ， 要 求 网 络 管 
理 员 所 在 的 IT 部 门 ( 使 用 终端 PC-5) 能 够 实现 对 所 有 部 门 的 访问 。 即 要 求实 现 VLAN 30 
访问 VLAN 10 和 VLAN 20，VLAN 10 和 VLAN 20 之 间 仍 然 不 允许 互相 访问 。 如 果 S1 
的 E 0/0/2 接口 仍 是 Access 类 型 且 属 于 VLAN 10, 则 不 能 被 其 他 VLAN 访问 。 若 要 VLAN 
30 的 终端 能 访问 VLAN 10 的 终端 , 则 需要 修改 接口 的 配置 , 使 其 既 能 被 VLAN 10 访问 ， 
又 能 被 VLAN 30 访问 , 这 就 要 求 此 接口 同时 要 属于 多 个 VLAN, 且 端 口 所 连 设备 是 PC， 
不 能 识别 带 VLAN Tag 的 帧 ， 故 此 时 只 能 使 用 Hybrid 类 型 接口 。Hybrid 端口 既 能 被 加 入 
多 个 VLAN 中 , 又 能 够 在 将 其 余 VLAN 的 帧 转发 到 此 接口 时 , 剥离 掉 相 应 的 VLAN Tag。 

配置 S1 交换 机 ，E 0/0/4 接口 是 网 络 管理 员 的 PC 终端 ， 属 于 VLAN 30， 该 接口 收 
到 的 PC 发 送 的 Untagged 帧 要 能 够 发 送 至 VLAN 30 中 ， 配 置 port hybrid pvid vlan 30 


命令 设置 Untagged 帧 加 入 至 VLAN 30。 
[Sllvlan 30 
[Sl-vlan30]interface Ethernet 0/0/4 
[S1-Ethernet0/0/4]port hybrid pvid vlan 30 


因为 在 华为 交换 机 上 , 默认 所 有 接口 都 为 Hybrid 类 型 接口 ,所 以 在 该 接口 下 不 需要 
修改 配置 。 

S1 交换 机 收 到 VLAN 10、VLAN 20 和 VLAN 30 的 帧 也 要 能 够 从 该 接口 发 送 至 PC， 
配置 port hybrid untagged vlan 10 20 30 命令 使 得 上 述 3 个 VLAN 的 帧 会 以 Untagged 的 
方式 从 该 接口 发 送出 去 。 

[S1-Ethernet0/0/4]port hybrid untagged vlan 10 20 30 

同 理 ， 端 口 E 0/0/2 接 PC-1， 接 口 收 到 PC 的 Untagged 帧 需要 发 送 至 VLAN 20， 使 
用 port hybrid pvid vlan 20 命令 。E 0/0/2 接口 同时 也 要 能 够 被 VLAN 30 和 VLAN 20 
的 主机 访问 ， 即 VLAN 20 和 30 的 帧 能 够 从 该 接口 发 送出 去 ， 并 以 Untagged 的 方式 发 
送 至 PC-1。 

[Silinterface ethernet0/0/2 

[S1-Ethernet0/0/2]port hybrid untagged vlan 20 30 


接口 E 0/0/3 收 到 Untagged 的 帧 需 发 送 至 VLAN 10， 同时 VLAN 10 和 30 的 帧 要 能 
从 该 接口 发 送出 去 。 

[Sl]Jinterface ethernet0/0/3 

[S1-Ethernet0/0/3]port hybrid untagged vlan 10 30 


VLAN10、VLAN20 和 VLAN30 的 帧 要 能 够 发 送 至 邻居 交换 机 S2， 且 要 保留 原 有 的 
VLAN Tag， 以 便于 领 居 交换 机 S2 根据 VLAN Tag 继续 转发 到 相应 的 VLAN。 同 样 ， 邻 
居 交 换 机 S2 发 送 过 来 的 帧 也 会 带 有 相应 的 VLAN Tag， 所 以 S1 与 S2 间 互 连 的 接口 EE 
0/0/1 配置 如 下 。 


[S1]interface ethernet0/0/1 
[S1-Ethernet0/0/1jport hybrid tagged vlan 10 20 30 


[S2]interface ethernet0/0/1 
[S2-Ethernet0/0/1jport hybrid tagged vlan 10 20 30 


同 理 在 S2 交换 机 上 ,E 0/0/1 接 口 收 到 的 带 有 相应 VLAN Tag 标 记 的 帧 , 如 果 是 VLAN 
10 的 帧 要 能 发 送 至 接口 E 0/0/3， 如 果 是 VLAN 20 的 帧 要 能 发 送 至 E 0/0/2。 而 如 果 是 
VLAN 30 的 帧 要 能 发 送 至 接口 E /002 和 E 0/0/3。VLAN10、20 和 30 的 帧 都 是 以 Untagged 
的 方式 发 送 至 接口 E 0/0/2 或 E 0/0/3。 反 之 ， 如 果 PC-3 发 出 的 Untagged 的 帧 发 送 至 接 
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口 E 0/0/2 时 会 进入 到 Hybrid 接口 PVID 所 指明 的 VLAN 20 中 ，PC-4 发 出 的 Untagged 
的 帧 发 送 至 接口 E 0/0/3 时 会 进入 到 Hybrid 接口 PVID 所 指明 的 VLAN 10 中 ， 有 具体 配置 
过 程 如 下 。 

[S2]vlan30 

[S2]interface ethernet0/0/2 

[S$S2-Ethernet0/0/2]port hybrid untagged vlan 20 30 


[S2-Ethermmet0/0/2]interface ethernet 0/0/3 
[S2-Ethernet0/0/3]port hybrid untagged vlan 10 30 
Sl 和 S2 上 全 部 配置 完成 后 , 使 用 ping 命令 在 IT 部 门 的 网 络 管理 员 的 PC-5 上 测试 
与 不 同 部 门 内 的 各 台 主 机 间 的 连通 性 ， 以 PC-1 为 例 。 
PC>ping 192.168.1.1 
Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: bytes=32 seq=1l ttl=128 time=15 ms 
From 192.168.1.1: bytes=32 seq=2 ttl=128 time<1l ms 
From 192.168.1.1: bytes=32 seq=3 tt=128 time<l ms 
From 192.168.1.1: bytes=32 seq=4 tt]=128 time=15 ms 
From 192.168.1.1: bytes=32 seq=5 ttl=128 time=15 ms 
--- 192.168.1.1 ping statistics -— 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/9/15 ms 
可 以 观察 到 ，PC-5 所 属 网 络 管理 员 所 在 的 VLAN 30， 能 够 正常 访问 到 其 他 部 门 的 
所 有 终端 。 
同 理 ， 选择 市 场 部 门 所 在 VLAN 20 内 的 主机 PC-1, 测试 其 与 其 他 主机 间 的 连通 性 。 
测试 PC-1 与 本 部 门 内 的 主机 PC-3 间 的 连通 性 。 
PC>ping 192.168.1.3 
Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.3: bytes=32 seq=] tl=128 time=31 ms 
From 192.168.1.3: bytes=32 seq=2 tt]=128 time=62 ms 
From 192.168.1.3: bytes=32 seq=3 ttl=128 time=46 ms 
From 192.168.1.3; bytes=32 seq=4 ttl=128 time=31 ms 
From 192.168.1.3; bytes=32 seq=5 ttl=128 time=47 ms 
~- 192.168.1.3 ping statistics --- 
$ packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/43/62 ms 
可 以 正常 通信 。 
测试 PC-1 与 外 部 门 的 主机 PC-2 和 PC-4 间 的 连通 性 。 
PC>ping 192.168.1.2 
Ping 192.168.1.2: 32 data bytes, Press Ctrl _C to break 
From 192.168.1.1: Destination hostunreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192:168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


PC>ping 192.168.1.4 
Ping 192.168.1.4: 32 data bytes, Press Ctrl_C to break 
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From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


不 能 正常 通信 ， 实 现 了 设计 要 求 。 
测试 PC-1 与 IT 部门 网 络 管理 员 主 机 PC-5 间 的 连通 性 。 
PC>ping 192.168.1.100 
Ping 192.168.1.100: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.100: bytes=32 seg=1 ttl=128 time<] ms 
From 192.168.1.100: bytes=32 seq=2 ttl=128 time=16 ms 
From 192.168.1.100: bytes=32 seq=3 tt=128 time<l ms 
From 192.168.1.100: bytes=32 seq=4 ttl=128 time<1 ms 
From 192.168.1.100: bytes=32 seq=5 ttl=128 time<l ms 
--- 192.168.1.100 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/3/16 ms 


可 以 正常 通信 。 

在 交换 机 上 可 以 定义 多 个 VLAN, 每 个 VLAN 都 可 以 看 做 是 一 个 广播 域 , 通常 情况 
下 每 个 VLAN 都 会 分 配 一 个 独立 的 下 网 络 ， 根 据 需 要 把 相应 主机 所 在 的 接口 划 入 到 指 
定 的 VLAN 中 ， 并 配置 相应 的 网 络 IP 地 址 ，VLAN 间 通 过 路 由 来 实现 互相 访问 。 这 是 
较为 常用 的 方法 。 但 是 相 比 于 基于 端口 的 Hybrid 配置 ， 三 层 路 由 方式 则 不 够 灵活 ， 原 因 
在 于 VLAN 之 间 的 访问 控制 要 借助 于 路 由 设备 来 实现 。 而 控制 VLAN 访问 使 用 Hybrid 
接口 则 极 大 地 简化 了 配置 的 复杂 性 ， 它 仅 需 在 端口 上 自主 定义 基于 VLAN Tag 的 过 滤 规 
则 ， 来 决定 指定 的 VLAN 的 二 层 帧 是 否 人 允许 发 送 ， 它 是 通过 二 层 来 实现 VLAN 间 的 访 
问 控制 ， 既 不 需要 每 个 VLAN 定义 单独 的 了 P 网 段 , 更 不 需要 在 VLAN 间 引 入 路 由 设备 ， 
配置 更 为 灵活 方便 。 


思考 


在 本 实验 中 ， 如 果 将 PC-5 所 连 交 换 机 的 接口 E 0/0/4 下 的 port hybrid pvid 30 命令 
删除 ，PC-4 所 连 的 端口 E 0/0/3 下 port hybrid pvid 10 命令 删除 ， 其 他 端口 配置 则 保持 
不 变 。 此 时 在 PC-5 与 PC-4 间 的 连通 性 是 否 正常 ? 报 文 经 过 S1 和 S2 间 端 口 时 使 用 的 
VLAN Tag 是 哪个 ? 为 什么 ? 


3.4 利用 单 臂 路 由 实现 VLAN 间 路 由 


以 太 网 中 , 通常 会 使 用 VLAN 技术 隔离 二 层 广 播 域 来 减少 广播 的 影响 ， 并 增强 网 络 
的 安全 性 和 可 管理 性 。 其 缺点 是 同时 也 严格 地 隔离 了 不 同 VLAN 之 间 的 任何 二 层 流量 ， 
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使 分 属于 不 同 VLAN 的 用 户 不 能 直接 互相 通信 。 在 现实 中 ， 经 常会 出 现 某 些 用 户 需 要 跨 
越 VLAN 实现 通信 的 情况 ， 单 臂 路 由 技术 就 是 解决 VLAN 间 通 信 的 一 种 方法 。 

单 辟 路 由 的 原理 是 通过 一 台 路 由 器 ， 使 VLAN 间 互 通 数据 通过 路 由 器 进行 三 层 转 
发 。 如 果 在 路 由 器 上 为 每 个 VLAN 分 配 一 个 单独 的 路 由 器 物理 接口 ， 随 着 VLAN 数量 
的 增加 ， 必 然 需要 更 多 的 接口 ， 而 路 由 器 能 提供 的 接口 数量 比较 有 限 ， 所 以 在 路 由 器 的 
一 个 物理 接口 上 通过 配置 子 接口 〈 即 逻辑 接口 ) 的 方式 来 实现 以 一 当 多 的 功能 ， 将 是 一 
种 非常 好 的 方式 。 路 由 器 同一 物理 接口 的 不 同 子 接口 作为 不 同 VLAN 的 默认 网 关 ， 当 不 
同 VLAN 间 的 用 户主 机 需要 通信 时 ， 只 需 将 数据 包 发 送 给 网 关 ， 网 关 处 理 后 再 发 送 至 目 
的 主机 所 在 VLAN， 从 而 实现 VLAN 间 通 信 。 由 于 从 拓扑 结构 图 上 看 ， 在 交换 机 与 路 由 
器 之 间 ， 数 据 仅 通过 一 条 物理 链 路 传输 ， 故 被 形象 地 称 之 为 “ 单 臂 路 由 ”。 


实验 目的 


。 理解 单 辟 路 由 的 应 用 场景 

。 掌握 路 由 器 子 接口 的 配置 方法 

。 掌握 子 接口 封装 VLAN 的 配置 方法 
。 理解 单 辟 路 由 的 工作 原理 


实验 内 容 


本 实验 模拟 公司 网 络 场 景 。 路 由 器 R1 是 公司 的 出 口 网 关 , 员工 PC 通过 接 入 层 交 换 
机 (如 S2 和 S3) 接 入 公司 网 络 , 接 入 层 交 换 机 又 通过 汇聚 交换 机 S1 与 路 由 器 R1 相连 。 
公司 内 部 网 络 通过 划分 不 同 的 VLAN 隔离 了 不 同 部 门 之 间 的 三 层 通 信 , 保证 各 部 门 间 的 
信息 安全 ， 但 是 由 于 业务 需要 ， 经 理 、 市 场 部 和 人 事 部 之 间 需 要 能 实现 跨 VLAN 通信 ， 
网 络 管理 员 决 定 借助 路 由 器 的 三 层 功能 ， 通 过 配置 单 臂 路 由 来 实现 。 


实验 拓扑 
利用 单 辟 路 由 实现 VLAN 间 路 由 拓扑 如 图 3-5 所 示 。 
S RI] 


Sl 
. GE 0/0/1 GE 0/0/1 FS 
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实验 编 址 
实验 编 址 见 表 3-4。 
表 3-4 实验 编 址 


| Fi 













GE 0/0/1.1 192.168.1.254 235.255.233.6 
GE 0/0/1.2 192.168.2.254 255.255.255.0 
GE 0/0/1.3 192.168.3.254 255.255.255.0 


Ethernet 0/0/1 192.168.1.1 255.255.253.0 






RI1 (AR2220) 














192.168.1.254 
192.168.2.254 
192.168.3.254 


Ethernet 0/0/1 192.168.2.1 255.255.255.0 
Ethernet 0/0/1 192.168.3.1 255.255.255.0 


PC-3 


实验 步骤 


1. 创建 VLAN 并 配置 Access、Trunk 接口 

公司 为 保障 各 部 门 的 信息 安全 ， 需 保证 隔离 不 同 部 门 间 的 二 层 通信 ， 规 划 各 部 门 的 
终端 属于 不 同 的 VLAN， 并 为 PC 配置 相应 IP 地址。 

在 S2 上 创建 VLAN 10 和 VLAN 20， 把 连接 PC-1 的 E 0/0/1 和 连接 PC-2 的 E 0/0/2 
接口 配置 为 Access 类 型 接口 ， 并 分 别 划 分 到 相应 的 VLAN 中 。 

[S2]vlan 10 

[S2-vlan10]description HR 

TS2-vian10]vlan 20 

[S2-vlan20]description Market 

[S2-vlan20]interface Ethernet 0/0/1 

[$2-Ethernet0/0/1]port link-type access 

[S2-Ethernet0/0/1]jport default vlan 10 

[S2-Ethernet0/0/1]interface Ethernet 0/0/2 

[S2-Ethernet0/0/2jport link-type access 

[S2-Ethernet0/0/2]port default vlan 20 

在 S3 上 创建 VLAN 30， 把 连接 PC-3 的 EE0/0/1 接口 配置 为 Access 类 型 接口 ， 并 划 
分 到 VLAN 30。 

[S3]vlan 30 

[S3-vlan30]description Manager 

[S3-vlan30]interface Ethernet 0/0/1 

[S3-Ethernet0/0/1]port link-type access 

[S3-Ethernet0/0/1 lport default vlan 30 

交换 机 之 间或 交换 机 和 路 由 器 之 间 相 连 的 接口 需要 传递 多 个 VLAN 信息 , 需要 配置 
成 Trunk 接口 。 


将 S2 和 S3 的 GE 0/0/2 接口 配置 成 Trunk 类 型 接口 ， 并 允许 所 有 VLAN 通过 。 
[S2]interface GigabitEthernet 0/0/2 

[S$2-GigabitEthernet0/0/2]port link-type trunk 

[S2-GigabitEthemet0/0/2jport trunk allow-pass vlan all 
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[S3jinterface GigabitEthernet 0/0/2 
[S3-GigabitEthernet0/0/2]port link-type trunk 
[S3-GigabitEthernet0/0/2]port trunk allow-pass vlan all 


在 S1 上 创建 VLAN 10、VLAN 20 和 VLAN 30, 并 配置 交换 机 和 路 由 器 相连 的 接口 
为 Trunk， 人 允许 所 有 VLAN 通过 。 

[Sllvlan 10 

[Sl-vlan10]vlan 20 

[Sl-vian20]vlan 30 

[S1-vlan30]interface GigabitEthernet 0/0/2 

[S1-GigabitEthemet0/0/2]port link-type trunk 

[S1-GigabitEthernet0/0/2] port trunk allow-pass vlan all 

[Sl-GigabitEthermet0/0/2|]interface GigabitEthernet 0/0/3 

[S1-GigabitEthernet0/0/3]port link-type trunk 

[S1-GigabitEthernet0/0/3] port trunk allow-pass vlan all 

[S1-GigabitEthemet0/0/3Jinterface GigabitEthemet 0/0/1 

[S1-GigabitEthernet0/0/1]port link-type trunk 

[S1-GigabitEthernet0/0/11port trunk allow-pass vlan all 

2. 配置 路 由 器 子 接口 和 卫 地 址 

由 于 路 由 器 R1 只 有 一 个 实际 的 物理 接口 与 交换 机 S1 相连 , 可 以 在 路 由 器 上 配置 不 
同 的 逻辑 子 接口 来 作为 不 同 VLAN 的 网 关 ， 从 而 达到 节省 路 由 器 接口 的 目的 。 

在 R1 上 创建 子 接口 GE 0/0/1.1, 配置 卫 地址 192.168.1.254/24， 作 为 人 事 部 网 关 
地 址 o 


[RI1Jinterface GigabitEthernet 0/0/1.1 
[R1-GigabitEthernet0/0/1.1]ip address 192.168.1.254 24 


在 R1 上 创建 子 接口 GE 0/0/1.2, 配置 IP 地 址 192.168.2.254/24,， 作为 市 场 部 网 关 
地 址 。 

[Rlilinterface GigabitEthernet 0/0/1.2 

[R1-GigabitEthernet0/0/1.2Jip address 192.168.2.254 24 


在 Rl1 上 创建 子 接口 GE 0/0/1.3; 配置 IP 地 址 192.168.3.254/24， 作 为 经 理 的 网 关 


地 址 。 
[Rllinterface GigabitEthemet 0/0/1.3 
[R1-GigabitEthernet0/0/1.3lip address 192.168.3.254 24 
在 PC-1、PC-2 和 PC-3 上 配置 IP 和 相应 的 网 关 地 址 后 ， 在 PC-1 上 测试 与 PC-2 和 
PC-3 间 的 连通 性 。 
PC>ping 192.168.2.1 
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 人 


PC>ping 192.168.3.1 

Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
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From 192.168.1.1: Destination host unreachable : 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


可 以 观察 到 ， 通 信 仍 然 无 法 建立 。 

3， 配 置 路 由 器 子 接口 封装 VLAN 

虽然 目前 已 经 创建 了 不 同 的 子 接口 ， 并 配置 了 相关 IP 地 址 , 但 是 仍然 无 法 通信 。 
这 是 由 于 处 于 不 同 VYLAN 下 ，, 不 同 网 段 的 PC 间 要 实现 互相 通信 ， 数据 包 必 须 通 过 路 
由 器 进行 中 转 。 由 S1 发 送 到 R1 的 数据 都 加 上 了 VLAN 标签 ， 而 路 由 器 作为 三 层 设 
备 ， 默 认 无 法 处 理 带 了 VLAN 标签 的 数据 包 。 因 此 需要 在 路 由 器 上 的 子 接口 下 配置 
对 应 VLAN 的 封装 ， 使 路 由 器 能 够 识别 和 处 理 VLAN 标签 ， 包 括 剥 离 和 封装 VLAN 
标签 。 

在 Rl 的 子 接口 GE 0/0/1.1 上 封装 VLAN 10, 在 子 接口 GE 0/0/1.2 上 封装 VLAN 20， 
在 子 接口 GE 0/0/1.3 上 封装 VLAN 30， 并 开启 子 接口 的 ARP 广播 功能 。 

使 用 dotlq termination vid 命令 配置 子 接口 对 一 层 tag 报 文 的 终结 功能 。 即 配置 该 
命令 后 ， 路 由 器 子 接口 在 接收 带 有 VLAN tag 的 报 文 时 ,将 剥 掉 tag 进行 三 层 转发 ， 在 发 
送 报 文 时 ， 会 将 与 该 子 接口 对 应 VLAN 的 VLAN tag 添加 到 报 文中 。 

[R1-GigabitEthernet0/0/1.1]dotlq termination vid 10 

使 用 arp broadcast enable 命令 开启 子 接口 的 ARP 广播 功能 。 如 果 不 配置 该 命令 ， 
将 会 导致 该 子 接口 无 法 主动 发 送 ARP 广播 报 文 ， 以 及 向 外 转发 卫 报 文 。 

[R1-GigabitEthernet0/0/1.1]arp broadcast enable 

同 理 配置 R1 的 子 接口 GE 0/0/1.2 和 GE 0/0/1.3。 

[RlJinterface GigabitEthernet0/0/1.2 

[R1-GigabitEthernet0/0/1:2]dot1lq termination vid 20 

[R1-GigabitEthernet0/0/1.2]Jarp broadcast enable 

[R1-GigabitEthernet0/0/1.2]interface GigabitEthernet0/0/1.3 

[RI-GigabitEthernet0/0/1.3]dotlq termination vid 30 

[RI1-GigabitEthernet0/0/1.3]arp broadcast enable 


配置 完成 后 ， 在 路 由 器 R1 上 查看 接口 状态 。 








[Rildisplay ip interface brief 
*down: administratively down 


~ IP Address/Mask Physical ~ Protocol 





unassigned down down 
unassigned up down 
~ 192.168.1.254/24 up oa 
| 
192.168.3.254/24 up wp 


unassigned up up (S) 
可 以 观察 到 ，3 个 子 接口 的 物理 状态 和 协议 状态 都 正常 。 
查看 路 由 器 R1 的 路 由 表 。 


[R1]display ip routing-table 
Route Flags: R - relay, D - download to fib 
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可 以 观察 到 ， 路 由 表 中 已 经 有 了 192.168.1.0/24、 192.168.2.0/24、 192.168.3.0/24 的 
路 由 条 目 ， 并 且 都 是 路 由 器 R1 的 直 连 路 由 ， 类 似 于 路 由 器 上 的 直 连 物理 接口 。 
_ 在 PC-1 上 分 别 测试 与 网 关 地 址 192.168.1.254 和 PC-2 间 的 连通 性 。 


可 以 观察 到 ， 通 信 正 常 。 在 PC-1 上 Tracert PC-2。 
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2 192.168.2.1 125 ms 94ms 94ms 

可 以 观察 到 PC-1 先 把 ping 包 发 送 给 自身 的 网 关 192.168.1.254， 然 后 再 由 网 关 发 送 
到 PC-2。 

现 以 PC-1 ping PC-2 为 例 ， 分 析 单 臂 路 由 的 整个 运作 过 程 。 

台 PC 由 于 处 于 不 同 的 网 络 中 ,这 时 PC-1 会 将 数据 包 发 往 自 己 的 网 关 ， 即 路 由 器 

R1 的 子 接口 GE 0/0/1.1 的 地 址 192.168.1.254。 

数据 包 到 达 路 由 器 R1 后 ， 由 于 路 由 器 的 子 接口 GE 0/0/1.1 已 经 配置 了 VLAN 封 
装 ， 当 接收 到 PC-1 发 送 的 VLAN 10 的 数据 帧 时 , 发 现 数据 帧 的 VLAN ID 跟 自身 GE 
0/0/1.1 接口 配置 的 VLAN ID 一 样 ， 便 会 剥离 掉 数 据 帧 的 VLAN 标签 后 通过 三 层 路 
由 转发 。 

通过 查找 路 由 表 后 ， 发 现 数据 包 中 的 目的 地 址 192.168.2.1 所 属 的 192.168.2.0/24 网 
段 的 路 由 条 目 ， 已 经 是 路 由 器 R1 上 的 直 连 路 由 ， 且 出 接口 为 GE 0/0/1.2， 便 将 该 数据 包 
发 送 至 GE 0/0/1.2 接口 。 

当 GE 0/0/1.2 接口 接收 到 一 个 没有 带 VLAN 标签 的 数据 帧 时 ， 便 会 加 上 自身 接口 所 
配置 的 VLAN ID 20 后 再 进行 转发 ， 然 后 通过 交换 机 将 数据 帧 顺利 转发 给 PC-2。 


加 AR 路 由 器 上 ， 端 口 默认 不 会 向 外 发 送 icmp 端口 不 可 达 消 息 ， 需 要 使 用 
“iemp port-unreachable send” 命 令 开启 该 功能 ， 以 保证 tracert 测试 的 准确 性 。 
思考 


VLAN 间 的 通信 可 以 利用 单 辟 路 由 的 方式 实现 ， 那 么 利用 单 臂 路 由 实现 数据 转发 会 
存在 哪些 潜在 问题 ? 该 如 何 解 决 ? 


3.5 ”利用 三 层 交 换 机 实现 VLAN 间 路 由 


原理 概述 


VLAN 将 一 个 物理 的 LAN 在 逻辑 上 划分 成 多 个 广播 域 。VLAN 内 的 主机 间 可 以 直 
接 通 信 ， 而 YLAN 间 不 能 直接 互通 。 

在 现实 网 络 中 , 经 常会 遇 到 需要 跨 VLAN 相互 访问 的 情况 ， 工程师 通常 会 选择 一 些 
方法 来 实现 不 同 VLAN 间 主 机 的 相互 访问 , 例如 单 辟 路 由 。 但 是 单 辟 路 由 技术 中 由 于 存 
在 一 些 局 限 性 ， 比 如 带宽 、 转 发 效率 等 ， 使 得 这 项 技术 应 用 较 少 。 

三 层 交 换 机 在 原 有 二 层 交 换 机 的 基础 之 上 增加 了 路 由 功能 ， 同 时 由 于 数据 没有 像 单 
辟 路 由 那样 经 过 物理 线路 进行 路 由 ， 很 好 地 解决 了 带宽 瓶颈 的 问题 ， 为 网 络 设计 提供 了 
一 个 灵活 的 解决 方案 。 

VLANIF 接口 是 基于 网 络 层 的 接口 ， 可 以 配置 人 P 地 址 ,借助 VLANIF 接口 , 三 层 交 
换 机 就 能 实现 路 由 转发 功能 。 
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实验 目的 


e 掌握 配置 VYLANIF 接口 的 方法 

e 理解 数据 包 跨 VLAN 路 由 的 原理 

。 掌握 测试 多 层 交 换 网 络 连通 性 的 方法 
实验 内 容 

本 实验 模拟 企业 网 络 场景 。 公 司 有 两 个 部 门 一 一 销售 部 和 客服 部 ， 分 别 规划 使 用 
VLAN 10 和 VLAN 20。 其 中 销售 部 下 有 两 台 终端 PC-1 和 PC-2， 客 服部 下 有 一 台 终 端 
PC-3。 所 有 终端 都 通过 核心 三 层 交换 机 S1 相连 。 现 需要 让 该 公司 所 有 三 台 主 机 都 能 实 
现 互 相 访问 ， 网 络 管理 员 将 通过 配置 三 层 交 换 机 来 实现 。 










实验 拓扑 
利用 三 层 交 换 机 实现 VLAN 间 路 由 的 拓扑 如 图 3-6 所 示 。 
核心 交换 机 
GE 0/0/1 
GE 0/0/3 
Ethemet 0/0/1 Ethernet 0/0/] 
Ethernet 0/0/1 
PC-1 PC-2 PC-3 
图 3-6 利用 三 层 交 换 机 实现 VLAN 间 路 由 拓扑 
实验 编 址 
实验 编 址 见 表 3-5。 












表 3-5 实验 编 址 



















Ethernet 0/0/1 192.168.1.1 255.255.255.0 192.168.1.254 
Ethernet 0/0/1 192.168.1.2 2552355.255.0 192.168.1.254 
Ethernet 0/0/1 192.168.2.1 255:255.255.0 


192.168.2.254 
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VLANIF 10 192.168.1.254 255.255.255.0 
VLANIF 20 192.168.2.254 255.255.255.0 


S1 (S5700) 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 在 PC 上 进行 相应 的 基本 IP 地 址 配置 ， 三 层 交 换 机 S1 上 暂 先 不 做 
配置 。 
配置 完成 后 ， 测 试销 售 部 两 台 终 端 PC-1 与 PC-2 间 的 连通 性 。 
PC>ping 192.168.1.1 
Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break 
From 192.168,1.1: bytes=32 seq=1l ttl=128 time=31 ms 
From 192.168.1.1: bytes=32 seq=2 ttl=128 time=15 ms 
From 192.168.1.1: bytes=32 seq=3 ttl=128 time<] ms 
From 192.168.1.1: bytes=32 seq=4 ttl=128 time<] ms 
From 192.168.1.1: bytes=32 seq=5 ttl=128 time<l ms 
-一 192.168.1.1 ping statistics -一 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/9/31 ms 
可 以 观察 到 ， 通 信 正 常 。 
测试 销售 部 PC-1 与 客服 部 PC-3 间 的 连通 性 。 
PC>ping 192.168.2.1 
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


PC-1 与 PC-3 间 无 法 正常 通信 ,下 面 简要 分 析 主 机 PC-1 发 出 数据 包 , 直至 反馈 目的 
无 法 到 达 的 整个 过 程 : 

主机 发 出 数据 包 前 ， 将 会 查看 数据 包 中 的 目的 IP 地址， 如 果 目 的 他 地址 和 本 机 下 
地 址 在 同一 个 网 段 上 , 主机 会 直接 发 出 一 个 ARP 请 求 数据 包 来 请 求 对 方 主机 的 MAC 地 
址 ， 封 装 数据 包 ， 继 而 发 送 该 数据 包 。 但 如 果 目 的 IP 地 址 与 本 机 人 P 地 址 不 在 同一 个 网 
段 ， 那么 主机 也 会 发 出 一 个 ARP 数据 包 请 求 网 关 的 MAC 地 址 ， 收 到 网 关 ARP 回复 后 ， 
继而 封装 数据 包 后 发 送 。 

所 以 ， 销 售 部 主机 PC-1 在 访问 192.168.2.1 这 个 IP 地 址 时 发 现 这 个 目的 IP 地 
址 与 本 机 IP 地 址 不 在 同一 个 IP 地 址 段 上 ，PC-1 便 会 发 出 ARP 数据 包 请 求 网 关 
192.168.1.254 的 MAC 地 址 。 但 由 于 交换 机 没有 做 任何 IP 配置 ， 因 此 没有 设备 应 答 
该 ARP 请 求 ， 导 致 销售 部 主机 PC-1 无 法 正常 封装 数据 包 ， 因 此 无 法 与 客服 部 PC-3 
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正常 通信 。 

2. 配置 三 层 交 换 机 实现 VLAN 间 通 信 

通过 在 交换 机 上 设置 不 同 的 VLAN 使 得 主机 实现 相互 隔离 。 在 三 层 交 换 机 S1 上 创 
建 VLAN 10 和 VLAN 20， 把 销售 部 的 主机 全 部 划 入 VLAN 10 中 ， 客服 部 的 主机 划 入 
VLAN 20 中 。 

PC>ping 192.168.2.1 

PING 192.168.2.1: 32 data bytes, press CTRL_C to break 
Reply from 192.168.2.1: bytes=32 Sequence=l ttl=254 time=20 ms 
Reply from 192.168.2,1: bytes=32 Sequence=] ttl=254 time=10 ms 
Reply from 192.168.2.1: bytes=32 Sequence=] tl=254 time=10 ms 
Reply from 192.168.2.1: bytes=32 Sequence=] ttl=254 time=10 ms 
Reply from 192.168.2.1: bytes=32 Sequence=1 ttl=254 time=10 ms 
-~ 192.168.2.1 ping statistics -~ 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/14/20 ms 

现在 需要 通过 VLAN 间 路 由 来 实现 通信 ， 在 三 层 交 换 机 上 配置 VLANIF 接口 。 

在 S1 上 使 用 interface VLANif 命令 创建 VLANIF 接口 ,指定 VLANIF 接口 所 对 
应 的 VLAN ID 为 10， 并 进入 VLANIF 接口 视图 ， 在 接口 视图 下 配置 IP 地 址 
192.168.1.254/24 。 再 创建 对 应 VLAN 20 的 VLANIF 接口 ， 地 址 配置 为 
192.168.2.254/24。 

[Sillinterface VLANif 10 

[S1-VLANifl0]ip address 192.168.1.254 24 

[S1-VLANifl0]jinterface VLANif 20 

[SIL-VLANif20]ip address 192.168.2.254 24 


配置 完成 后 ， 查 看 接口 状态 。 


[Sll]display ip interface brief 
*down: administratively down 


wn 


Interface IP Address/Mask Physical Protocol 
MEth0/0/1 unassigned down down 
NULLO unassigned up up(s) 
VLANifl unassigned down down 
VLANIfI0 192.168.1.254/24 up up 
VLANif20 192.168.2.254/24 


可 以 观察 到 ， 两 个 VLANIF 接口 已 经 生效 。 再 次 测试 PC-1 与 PC-3 间 的 连通 性 。 
PC>ping 192.168.2.1 
PING 192.168.2.1: 32 data bytes, press CTRL_C to break 
Reply from 192.168.2.1: bytes=32 Sequence=]1 ttl=254 time=20 ms 
Reply from 192.168.2.1; bytes=32 Sequence=] ttl=254 time=10 ms 
Reply from 192.168.2.1: bytes=32 Sequence=1 ttl=254 time=10 ms 
Reply from 192.168.2.1: bytes=32 Sequence=] ttl=254 time=10 ms 
Reply from 192.168.2.1: bytes=32 Sequence=] ttl=254 time=10 ms 
-一 192.168.2.1 ping statistics -一 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/14/20 ms 
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可 见 通 信 正 常 ， 实 现 了 销售 部 终端 与 客服 部 终端 间 的 通信 。PC-2 上 的 测试 省 略 。 

在 PC-1 上 查看 ARP 信息 。 

PC>arp -a po 

Internet Address Physical Address Type 

192.168.1.254 4C-1F-CC-63-AB-09 dynamic 

可 以 观察 到 ， 目 前 PC 上 ARP 解析 到 的 地 址 只 有 交换 机 的 VLANIF 10 的 地 址 ， 而 
没有 对 端的 地 址 ，PC-1 先 将 数据 包 发 送 至 网 关 ， 即 对 应 的 VLANIF 10 接口 ， 再 由 网 关 
转发 到 对 端 。 


思考 
试问 三 层 交 换 机 与 路 由 器 实现 三 层 功能 的 方式 是 否 相同 ? 为 什么 ? 





第 4 这 
生成 树 





4.1 
4.2 
4.3 


4.4 





STP 配 置 和 选 路 规则 
配置 STP 定 时 器 
RSTP 基 础 配置 
MSTP 基 础 配置 











eda 
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4.1 STP 配置 和 选 路 规则 


原理 概述 


STP 是 用 来 避免 数据 链 路 层 出 现 逻辑 环 路 的 协议 , 运行 STP 协议 的 设备 通过 交互 信 
息 发 现 环 路 ， 并 通过 阻塞 特定 端口 ， 最 终 将 网 络 结构 修剪 成 无 环 路 的 树 形 结构 。 在 网 络 
出 现 故 障 的 时 候 ，STP 能 快速 发 现 链 路 故障 ， 并 尽快 找 出 另外 一 条 路 径 进行 数据 传输 。 

交换 机 上 运行 的 STP 通过 BPDU 信息 的 交互 ， 选 举 根 交换 机 ， 然 后 每 台 非 根 交换 机 
选择 用 来 与 根 交 换 机 通信 的 根 端 口 ， 之 后 每 个 网 段 选择 用 来 转发 数据 至 根 交 换 机 的 指定 
端口 ， 最 后 剩余 端口 则 被 阻塞 。 

在 STP 工作 过 程 中 ， 根 交换 机 的 选举 ， 根 端口 、 指 定 端口 的 选举 都 非常 重要 。 华 为 
VRP 提供 了 各 种 命令 来 调整 STP 的 参数 ， 用 以 优化 网 络 。 例 如 ， 交 换 机 优先 级 、 端 口 优 
先 级 、 端 口 代 价值 等 。 


实验 目的 
。 理解 STP 的 选举 过 程 
。 掌握 修改 交换 机 优先 级 的 方法 
。 掌握 修改 端口 开销 值 的 方法 
实验 内 容 


公司 购置 了 4 台 交 换 机 ， 组 建 网 络 。 考 虑 到 网 络 的 可 靠 性 ， 将 4 台 交 换 机 如 图 4-1 所 
示 拓 扑 搭建 。 由 于 默认 情况 下 ， 交 换 机 之 间 运 行 STP 后 ， 根 交换 机 、 根 端口 、 指 定 端口 的 
选择 将 基于 交换 机 的 MAC 地 址 的 大 小 ， 因 此 带 来 了 不 确定 性 ， 极 可 能 由 此 产生 隐患 。 

公司 网 络 规 划 ， 需 要 S1 作为 主根 交换 机 ，S2 作为 S1 的 备份 根 交 换 机 。 同 时 对 于 
S4 交 换 机 ,E 0/0/1 接口 应 该 作为 根 端 口 . 对 于 S2 和 S3 之 间 的 链 路 ,应 该 保证 S2 的 E0/0/3 
接口 作为 指定 端口 。 同 时 在 交换 机 S3 上 ， 存 在 两 个 接口 E 0/0/10、E 0/0/11 连接 到 测试 
PC， 测 试 PC 经 常 上 下 线 网 络 ， 需 要 将 交换 机 S3 与 之 相连 的 对 应 端口 定义 为 边缘 端口 ， 
避免 测试 电脑 上 下 线 对 网 络 产生 的 影响 。 


,A 口 的 物理 状态 与 该 端口 在 STP 协议 中 的 状态 是 两 个 概念 ,应 着 重 避 免 混 
消 。 
实验 拓扑 

STP 配置 及 选举 规则 的 拓扑 如 图 4-1 所 示 。 
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图 4-1 STP 配置 及 选举 规则 拓扑 
MAC 地 址 
本 实验 的 MAC 地 址 见 表 4-1。 
表 4-1 MAC 地 址 
S1 (S3700) “dolf-cosb-beae 
S2 (C83700) 4c1f-ecbf-cbbs 
S3 (C83700) 4c1f-ccb0-58df 
S4 (S3700) 4c1f-ocac 3733 
实验 步骤 
1. 基本 配置 


根据 图 4-1， 在 交换 机 上 启用 STP〈 华 为 交换 机 默认 启用 MSTP)， 将 交换 机 的 STP 
模式 更 改 为 普通 生成 树 STP。 













配置 完成 后 ， 默认 情况 下 需要 等 竺 30s 生成 树 重 新 计算 的 时 间 (15s Forward Delay 
加 上 15s Learning 状态 时 间 )， 再 使 用 display stp 命令 查看 Sl 的 生成 树 状态 。 
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Port Priority :128 
Port Cost(DotlIT ) :Config=auto / Active=1 
Designated Bridge/Port ~ :32768.4clf-ccbf-cbb$ / 128.1 
BPDU Received :$0 
TCN: 0, Config: 50, RST: 0, MST: 0 
—--[Port2(Ethernet0/0/2)][DISCARDING]---- 


Port Protocol :Enabled 
Port Role :Alternate Port 
Port Priority :128 


Port Cost(DotIT ) :Config=auto /Active=1 
Designated Bridge/Port :32768.4clf-cceb-658f/ 128.2 


Naess 


可 以 观察 到 S1 的 E 0/0/1 端口 为 转发 状态 、 端 口角 色 为 根 端口 ，E 0/0/2 端口 为 丢弃 
状态 ， 端 口角 色 Alternate， 即 替代 端口 。 
还 可 以 使 用 display stp brief 命令 在 S2、S3、S4 上 仅 查 看 摘要 信息 。 


[S2]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI -FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 


0 Ethernet0/0/3 DESI FORWARDING NONE 
在 交换 机 S2 上 所 有 的 端口 为 转发 状态 , 观察 到 E 0/0/1 和 E 0/0/3 端口 角色 为 指定 端 
口 ，E 0/0/2 为 根 端口 。 


[S3]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethermet0/0/3 ALTE DISCARDING & NONE 
交换 机 S3 上 EE 0/0/3 端口 角色 为 Alternate 端口 ， 且 状态 为 丢弃 状态 ， 该 端口 将 不 
会 转发 数据 流量 。 
[S4]display stp brief 
MSTID Port Role STP State Protection 
~ EthernetO/0/1 DESI FORWARDING NONE 


Ethemet0/0/2 DESI FORWARDING NONE 
在 交换 机 S4 上 所 有 的 端口 角色 都 为 指定 端口， 且 端 口 状 态 都 为 转发 。 


可 以 初步 判断 4 台 交 换 机 中 S4 为 根 交换 机 ， 因 为 该 交换 机 所 有 端口 都 为 指定 端口 。 
通过 display stp 命令 查看 生成 树 详细 信息 。 


[S4]display stp 

---- 一 [CIST Global Info][Mode STP] 一 一 - 

CIST Bridge :32768.4clf-ccac-3733 

Config Times :Hello 2s MaxAge 20s FEwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 


CIST Root/ERPC :32768.4clf-ccac-3733 /0 
CIST RegRoot/IRPC :32768.4clf-ccac-3733/0 2 cs 


可 以 观察 到 “CIST Root” 和 “CIST Bridge” 相 同 ， 即 目前 根 交换 机 ID 与 自身 的 交 
换 机 ID 相同 ， 说 明 目 前 S4 为 根 交 换 机 。 
生成 树 运 算 第 一 步 就 是 通过 比较 每 台 交 换 机 的 ID 选举 根 交 换 机 。 交 换 机 ID 由 交换 
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机 优先 级 和 MAC 地 址 组 成 ， 首 先 比较 交换 机 优先 级 ， 数 值 最 低 的 为 根 交换 机 ， 如 果 优 
先 级 一 样 ， 则 比较 MAC 地 址 ， 同 样 数 值 最 低 的 选举 为 根 交 换 机 。 

目前 在 该 公司 的 二 层 拓 扑 中 ，4 台 交 换 机 的 生成 树 都 刚刚 开始 运行 ， 交 换 机 优先 级 
都 为 默认 值 ， 即 都 相同 ， 故 根据 每 台 交 换 机 的 MAC 地 址 来 选举 ， 通 过 比较 ， 最 终 确定 
S4 为 根 交 换 机 。 

2. 配置 网 络 中 的 根 交换 机 

根 交 换 机 在 网 络 中 的 位 置 是 非常 重要 的 ， 如 果 选 择 了 一 台 性 能 较 差 的 交换 机 ， 或 者 
是 部 署 在 接 入 层 的 交换 机 作为 根 交 换 机 ， 会 影响 到 整个 网 络 的 通信 质量 及 数据 传输 。 所 
以 确定 根 交 换 机 的 位 置 极为 重要 。 根 交换 机 选举 依据 是 根 交换 机 ID， 值 越 小 越 优 先 ， 交 
换 机 默认 的 优先 级 为 32768， 当 然 该 值 是 可 以 修改 的 。 

现在 将 S1 配置 为 主根 交换 机 ，S2 为 备份 根 交 换 机 , 将 S1 的 优先 级 改 为 0，S2 的 优 
先 级 改 为 4096。 

[SI1]stp priority 0 

[S2]stp priority 4096 


配置 完成 后 查看 S1 和 S2 的 STP 状态 信息 。 





[SlJdisplay stp 
[CIST Global Info][Mode STP]------- 
CISTBridge 0 4clf-cceb-beac 
Config Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 


CIST Root/ERPC 0 .4clfcceb-beac/0 
CISTRegRoot/IRPC :0 4clf-cceb-beac /0 


es 


[S2]display stp 

~—---[CIST Global Info][Mode STP]-----—-- 

CIST Bridge ~ :4096 .4clf-ccbf-cbb5 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 


Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CISTRooVERPC :0 4clf-cceb-beac/ 1 
CISTRegRooVIRPC :4096 .4clf-ccbf-cbb5 /0 


通过 观察 发 现 S1 的 优先 级 变 为 了 0， 为 根 交换 机 ; 而 S2 的 优先 级 变 为 了 4096， 为 
备份 根 交 换 机 。 
这 里 还 可 以 使 用 另外 一 种 方式 配置 主根 交换 机 和 备份 根 交换 机 。 


首先 删除 在 S1 上 所 配置 的 优先 级 ， 使 用 stp root primary 命令 配置 主根 交换 机 。 
[Sl]jundo stp priority 


[S1]stp root primary 

删除 在 S2 上 所 配置 的 优先 级 ， 使 用 stp root secondary 命令 配置 备份 根 交换 机 。 

[SlJundo stp priority 

[S21]stp root secondary 

配置 完成 后 查看 STP 的 状态 信息 ， 与 前 一 种 方法 得 到 的 一 致 ， 此 时 S1 自动 更 改 优 
先 级 为 0， 而 S2 更 改 为 4096。 

3. 理解 根 端口 的 选举 
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生成 树 在 选举 出 根 交换 机 之 后 ， 将 在 每 台 非 根 交换 机 上 选举 根 端口 。 选 举 时 首先 比 
较 该 交换 机 上 每 个 端口 到 达 根 交换 机 的 根 路 径 开销 , 路 径 开销 最 小 的 端口 将 成 为 根 端口 。 
如 果 根 路 径 开销 值 相 同 , 则 比较 每 个 端口 所 在 链 路 上 的 上 行 交换 机 ID, 如 果 该 交换 机 ID 
也 相同 , 则 比较 每 个 端口 所 在 链 路 上 的 上 行 端口 ID。 每 台 交 换 机 上 只 能 拥有 一 个 根 端口 。 

目前 S1 为 主根 交换 机 ， 而 S2 为 备份 根 交 换 机 ， 查 看 S4 上 生成 树 信息 。 


[S4]display stp brief 

MSTID Port Role STP State Protection 
0 Ethemet0/0/1 | ALTE DISCARDING NONE 
OMe OTDRORWARDING NONB 


可 以 观察 到 ， 现 在 S4 的 E 0/0/2 为 根 端口 ， 状 态 为 转发 状态 。S4 在 选举 根 端 口 时 ， 
首先 比较 根 路 径 开 销 ， 由 于 拓扑 中 所 有 链 路 都 是 相同 的 百 兆 以 太 网 链 路 ，S4 经 过 S3 到 
S1 与 经 过 S2 到 S1 的 开销 值 相同 ; 接 下 来 比较 S4 的 两 台 上 行 链 路 的 交换 机 S2 和 S3 的 
交换 机 标识 ，S2 目前 的 交换 机 优先 级 为 4096， 而 S3 为 默认 的 32768， 所 以 与 S2 连接 的 
E 0/0/2 接口 被 选 为 根 端口 。 

查看 S4 的 E 0/0/2 接口 开销 值 。 


<S4>display stp interface Ethernet 0/0/2 
----[Port2(Ethernet0/0/2)][FORWARDING]---- 


Port Protocol :Enabled 
Port Role :Root Port 
Port Priority :128 


Port Cost(DotlT) ConfigrautoJActiverl 

Designated Bridge/Port :4096.4clf-ccbf-cbb5/ 128.2 

可 以 观察 到 ， 接 口 路 径 开销 采用 的 是 DotlT 的 计算 方法 ，Config 是 指 手 工 配置 的 路 
径 开销 ，Active 是 实际 使 用 的 路 径 开 销 ， 开 销 值 为 1。 


配置 S4 的 E 0/0/2 接口 的 代价 值 为 2000， 即 增加 该 接口 默认 的 代价 值 。 
[S4]jinterface ethernet0/0/2 

[S4-Ethernet0/0/2]stp cost 2000 

配置 完成 后 再 次 查看 S4 的 E 0/0/2 接口 开销 值 以 及 STP 状态 摘要 信息 。 
<S4>display stp interface Ethernet 0/0/2 

----[Port2(Ethernet0/0/2)][DISCARDING]---- 





Port Protocol :Enabled 
Port Role :Alternate Port 
Port Priority :128 


Port Cost(DotiT) :Config=2000 / Active=2000 
Designated Bridge/Port :4096.4clf-ccbf-cbb5 / 128.2 


wen 





[S4]display stp brief | 

MSTID Port Role STP State Protection 
0 EthemetO/O/l ROOT FORWARDING ~ NONE 
0 Ethernet0/0/2 ALTE DISCARDING NONE 


发 现 此 时 EE 0/0/1 端口 角色 变 成 了 根 端 日 ， 而 了 0/0/2 变 成 了 Alternate 端 日 a。 这 是 由 
于 将 E 0/0/2 接口 的 开销 修改 为 2000 之 后 ,在 选举 根 端口 时 ,其 到 根 路 径 开 销 大 于 E 0/0/1 
的 根 路 径 开 销 。 

4. 理解 指定 端口 的 选举 

生成 树 协议 在 每 台 非 根 交 换 机 选举 出 根 端口 之 后 ， 将 在 每 个 网 段 上 选举 指定 端口 ， 


第 4 章 生成 树 95 


选举 的 比较 规则 和 选举 根 端口 类 似 。 

现在 网 络 管理 员 需 要 确保 S2 连接 S3 的 E 0/0/3 接口 被 选择 为 指定 端口 ， 可 以 通过 
修改 端口 开销 值 来 实现 。 

为 了 模拟 该 场景 ， 将 S2 的 优先 级 恢复 为 默认 的 32768。 


[S2Jundo stp root 

配置 完成 后 ， 查 看 S2 的 STP 状态 信息 。 
[S2]display stp 

—-—--[CIST Global Info][Mode STP]- 一 -一 

CIST Bridge :32768. 4clf-ccbf-cbb5 

Config Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 


查看 S2 与 S3 的 STP 状态 摘要 信息 。 


[S2]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 
[S3]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethermet0/0/2 ROOT FORWARDING NONE 
0 Ethemet0/0/3 DESI FORWARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 
0 EthernetO/O/11 DESI FORWARDING NONE 


通过 观察 发 现在 S2 与 S3 间 的 链 路 上 ， 选 择 了 S3 的 E0/0/3 接口 为 指定 端口 ， 而 S2 
的 E0/0/3 接口 为 alternate 端口 。 这 是 由 于 在 选举 指定 端口 时 ， 首 先 比较 两 个 端口 发 送 与 
接收 BPDU 中 的 根 路 径 开 销 ，S2 与 S3 交换 机 的 根 路 径 开销 相同 ; 接着 比较 端口 发 送 与 
接收 BPDU 中 的 网 桥 ID，S2 与 S3 交换 机 的 网 桥 优先 级 相同 ， 因 此 需要 进一步 比较 网 桥 
MAC 地 址 最 终 选 出 该 物理 网 段 的 指定 端口 。 

查看 S2 和 S3 的 E 0/0/3 接口 信息 。 


<S2>display interface Ethermet 0/0/3 
Ethernet0/0/3 current state : UP 
Current System time: 2013-08-30 13:48:06-08:00 
Hardware address is 4c1f-ccbf-cbb5 
Last 300 seconds input rate 0 bytes/sec, 0 packets/sec 


wy 


<S3>display interface Ethernet 0/0/3 
Ethernet0/0/3 current state ; UP 
Current system time: 2013-08-30 13:49:15-08:00 
Hardware address is 4c1fccb0-58df 
Last 300 seconds input rate 0 bytes/sec, 0 packets/sec 


ve 


可 以 观察 到 ，S2 的 网 桥 MAC 地 址 大 于 $3 的 网 桥 MAC 地 址 ， 所 以 该 网 段 上 $3 的 
e0/0/3 接口 成 为 了 该 物理 网 段 的 指定 端口 。 
修改 S3 的 EE0/0/2 接口 的 开销 值 ， 将 该 值 增 大 (默认 为 1)， 即 增 大 该 端口 上 的 根 路 
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和 





配置 完成 后 查看 S2 的 STP 状态 摘要 信息 。 





根据 STP 计算 规则 选择 指定 端口 时 ， 最 终 选择 S2 的 E 0/0/3 接口 作为 指定 端口 。 
为 了 验证 现在 能 够 确保 S2 的 E 0/0/3 接口 成 为 指定 端口 ， 下 面 将 $3 的 优先 级 调整 
为 4096， 并 查看 。 i 





再 次 查看 S2 和 S3 的 STP 状态 。 





“可 以 观察 到 ， 即 使 将 S3 的 优先 级 修改 得 比 S2 的 优先 级 值 更 低 ， 但 是 S2 的 E 0/03 
接口 仍然 为 指定 端口 ， 而 S3 的 E 0/0/3 接口 还 是 Alternate 端口 ， 再 次 验证 了 在 选举 指定 
端口 时 首先 比较 根 路 径 开销 的 规则 。 





,0 不 尽 相 同 ， 不 同类 型 交换 机 会 存在 整 机 MAC 地 址 、 业 务 音 
板 MAC 地 址 、 端 口 MAC 地 址 的 差异 。 
思考 

在 什么 场景 下 ， 选 举 根 端口 、 指 定 端口 时 会 比较 到 端口 ID? 
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4.2 配置 STP 定时 器 


原理 概述 


普通 生成 树 STP 不 能 实现 快速 收敛 ,但 是 在 STP 中 诸如 Hello Time 定时 器 、Max Age 
定时 器 、Forward Delay 定时 器 、 未 收 到 上 游 的 BPDU 就 重新 开始 生成 树 计 算 的 超时 时 间 
等 参数 会 影响 其 收敛 速度 。 通过 配置 合适 的 系统 参数 , 可 以 使 STP 实现 最 快 的 拓扑 收敛 。 
下 面 首先 介绍 STP 定时 器 。 

国 Hello Time 定时 器 : Hello Time 为 周期 发 送 BPDU 来 维护 生成 树 的 稳定 的 时 间 ， 
默认 为 23。 如 果 交 换 机 在 配置 的 超时 时 间 内 没有 收 到 上 游 交 换 机 发 送 的 BPDU， 则 会 重 
新 进行 生成 树 计算 。 在 根 交 换 机 上 配置 的 Hello Time 将 作为 整个 生成 树 内 所 有 交换 机 的 
Hello Time。 

加 Max Age 定时 器 : BPDU 的 最 大 生存 时 间 ， 默 认为 20s， 交 换 机 通过 比较 从 上 
游 交 换 机 收 到 的 BPDU 中 携带 的 Message Age (配置 BPDU 的 生存 时 间 ， 如 果 配 置 
BPDU 是 根 桥 发 出 的 ， 则 Message Age 为 0， 每 经 过 一 台 交 换 机 增加 1) 和 Max Age， 
来 判断 此 BPDU 是 否 超时 。 如 果 收 到 的 BPDU 超时 ， 交 换 机 将 该 BPDU 老化 ， 同 时 
阻塞 接收 该 BPDU 的 接口 , 并 开始 发 出 以 自己 为 根 桥 的 BPDU。 这 种 老化 机 制 可 以 有 
效 地 控制 生成 树 的 半径 。 在 根 交 换 机 上 配置 的 Max Age 将 作为 整个 生成 树 内 所 有 交 
换 机 的 Max Age。 

图 Forward Delay 定时 器 : 此 延迟 时 间 为 Forward Delay 定时 器 的 时 间 ， 默 认为 15s。 
链 路 故障 会 引发 网 络 重 新 进行 生成 树 的 计算 ， 生 成 树 的 结构 将 发 生 相 应 的 变化 。 不 过 重 
新 计算 得 到 的 新 配置 消息 无 法 立刻 传 遍 整个 网 络 ， 如 果 新 选 出 的 根 端口 和 指定 端口 立刻 
就 开始 数据 转发 的 话 ， 可 能 会 造成 临时 环 路 。 为 此 ，STP 采用 了 一 种 端口 状态 迁移 机 制 ， 
新 选 出 的 根 端 口 和 指定 端口 要 经 过 2 倍 的 Forward Delay 延 时 后 才能 进入 转发 状态 ， 这 
个 延 时 保证 了 新 的 配置 消息 传 遍 整个 网 络 ， 使 所 有 参与 STP 计算 的 交换 都 能 正确 知晓 网 
络 状 态 ， 从 而 防止 了 临时 环 路 的 产生 。 在 华为 交换 机 设备 上 ， 由 于 默认 生成 树 模式 为 
MSTP, 当 手 工 更 改 生 成 树 模式 为 STP 时 ,STP 的 端口 状态 同样 只 有 Discarding、Learning、 
Forwarding 3 种 。 在 根 交 换 机 上 配置 的 延迟 时 间 将 作为 整个 生成 树 内 所 有 交换 机 的 延迟 
时 间 。 

超时 时 间 二 3XHello TimeXTimer Factor。 如 果 交 换 机 在 配置 的 超时 时 间 内 没有 收 到 
上 游 发 送 的 BPDU， 就 认为 上 游 交 换 机 已 经 出 现 故 障 ， 然 后 会 重新 进行 生成 树 拓 扑 的 计 
算 。 但 是 有 时 交换 机 在 较 长 的 时 间 内 收 不 到 上 游 发 送 的 BPDU， 是 由 于 上 游 交换 机 的 繁 
忙 造成 的 ， 在 这 种 情况 下 一 般 不 应 该 重新 进行 生成 树 计 算 。 因 此 ， 在 稳定 的 网 络 中 ， 应 
将 超时 时 间 配 置 得 长 一 些 , 以 减少 网 络 资源 的 浪费 。 建议 将 Timer Factor 的 值 设 置 为 5 一 
7， 以 增强 网 络 稳 定性 。 

根 交 换 机 的 Hello Time、Forward Delay 以 及 Max Age 3 个 时 间 参 数 之 间 取 值 应 该 满 
足 如 下 公式 ， 否 则 网 络 会 频繁 震荡 。 

2X( Forward Delay 一 1.0 second ) 字 Max Age 
Max Age 三 2X( Hello Time 十 1.0 second ) 
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建议 使 用 stp bridge-diameter 命令 配置 网 络 直径 , 交换 机 会 自动 根据 网 络 直径 计 
算出 Hello Time、Forward Delay 以 及 Max Age 3 个 时 间 参 数 的 最 优 值 。 默认 网 络 直径 
为 :7s 


_ 版 本 的 802.1D 标准 推荐 使 用 7 个 跃 点 的 网 络 直径 ， 即 任意 两 基站 间 的 路 径 


上 只 要 有 7 台 交 换 机 即 可 。 对 于 该 推荐 主要 考虑 7 个 交换 机 的 给 定 路 径 上 的 往返 数据 包 
延迟 问题 ， 也 就 是 在 一 个 完整 的 往返 中 共有 14 个 交换 机 路 点。 


实验 目的 


* 理解 STP 中 定时 器 的 作用 

* 掌握 STP 定时 器 的 配置 命令 

" 掌握 查看 STP 定时 器 的 生效 方法 

。 理解 STP 定时 器 的 最 佳 设 置 方法 
实验 内 容 

本 实验 模拟 企业 网 络 场景 。 公 司 内 网 是 一 个 大 的 局 域 网 ， 由 4 台 交 换 机 两 两 相连 组 
成 的 一 个 环形 网 络 。 为 了 避免 形成 环 路 ， 每 台 交 换 机 都 运行 了 STP 生成 树 协 议 ， 且 配置 
S1 为 根 交换 机 ，S2 为 备份 根 交换 机 。 现 在 为 了 优化 网 络 ， 在 网 络 变 化 时 加 快 STP 的 收 


敛 速度 ， 需 要 在 交换 机 上 更 改 STP 定时 器 的 设置 ， 将 所 有 定时 器 调整 到 最 优 值 ， 完 成 
STP 的 加 速 收敛 。 


实验 拓扑 
配置 STP 定时 器 的 拓扑 如 图 4-2 所 示 。 
S1 S2 


Ethernet 0/0/10 sy Ethernet 0/0/1 位 Ethernet 0/0/10 
Ethernet 0/0/1 















Ethernet 0/0/1 Ethernet 0/0/] 一 


PC-2 


Ethernet 0/0/2 加 


Ethernet 0/0/4 


Ethernet 0/0/4 Ethernet 0/0/2 





Ethernet 0/0/10 em Ethernet 0/0/3 


Ethernet 0/0/1 Ethemet 0/0/] 一 
PC-3 S3 PC-4 


T0013 OEE4- 
图 4-2 配置 STP 定时 器 拓扑 






Ethernet 0/0/10 





Ethernet 0/0/3 = 
S4 
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实验 编 址 


实验 编 址 见 表 4-2。 
表 4-2 实验 编 址 


Ethernet 0/0/1 10.4.1 


Ethernet 0/0/1 10.1.1.2 255.255.255.0 
~ Ethernet 0/0/1 10.1.1.3 255.255.255.0 
Ethernet 0/0/1 10.1.1.4 | 255.255.255.0 | 





MAC 地 址 
本 实验 的 MAC 地 址 见 表 4-3。 
表 4-3 ”MAC 地 址 
S1 (S3700) 4clf-cc73-c72d 
S2 (S3700) 4clf-ccf4-3d05 
S3 (S3700) 4clf-cca5-443e 
S4 (S3700) 4clf-ccb9-8907 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 











”其余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 STP 定时 器 
在 4 台 交换 机 上 配置 使 用 STP， 并 配置 S1 为 该 二 层 网 络 中 的 根 交换 机 ，S2 为 备份 
根 交换 机 。 
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[S2]stp enable 
[S21stp mode stp 
[S2]stp root secondary 


[S3]stp enable 
[S3]stp mode stp 


[S4]stp enable 

[S41]stp mode stp 

配置 完成 后 ， 使 用 display stp 命令 查看 各 定时 器 的 默认 值 。 
<Sl>display stp 

[CIST Global Info][Mode STP]-----— 

CIST Bridge :0 ,4clf-cc73-c72d 

Config Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 

Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 

CIST Root/ERPC :0 .4clfec73-c72d710 


可 以 查看 到 在 默认 情况 下 ，BPDU 每 2 秒 发 送 一 次 (Hello)，BPDU 的 最 大 老化 时 





间 为 20s (MaxAge)， 转 发 延迟 为 15s (FwDly)， 最 大 传递 跳 数 为 20 跳 (MaxHop)。 注 


Config Times 标识 的 是 当前 设备 配置 的 计时 器 ， 而 Active Times 标识 的 是 正在 生效 


的 计时 器 ， 一 般 情 况 下 二 者 是 完全 相同 的 。 


加 STP 而 言 在 拓扑 稳定 后 只 有 根 网 桥 周期 性 的 产生 并 发 送 STP 配置 BPDU， 
其 他 网 桥 从 根 端 口 收 到 该 配置 BPDU 后 需要 上 送 C PU 处 理 后 ,将 发 送 桥 工 六 填充 为 自 


身 网 桥 I D 、message age 计数 器 +1 后 再 从 其 他 端口 发 送出 去 ， 而 非 不 加 处 理 的 简单 泛 


在 PC-4 上 使 用 ping -t 命令 持续 发 送 ICMP 报 文 ， 进 行 连通 性 测试 。 
PC>ping 10.1.1.2 -t 

Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break 

From 10.1.1.2: bytes=32 seq=] ttl=128 time=109 ms 

From 10.1.1.2: bytes=32 seq=2 ttl=128 time=109 ms 

From 10.1.1.2: bytes=32 seq=3 ttl=128 time=79 ms 

From 10.1.1.2: bytes=32 seq=4 ttl=128 time=78 ms 

From 10.1.1.2: bytes=32 seq=5 ttl=128 time=109 ms 


ses 


可 以 观察 到 ， 此 时 网 络 稳定 ， 没 有 出 现任 何 丢 包 现象 。 
在 S1 上 修改 STP 的 Forward Delay 时 间 为 2000cs， 默 认为 1500cs，cs 代表 百 分 之 


一 秒 。 注 意 ， 只 有 在 根 交 换 机 上 进行 该 配置 才 会 生效 。 


[Sl]stp timer forward-delay 2000 
配置 完成 后 ， 交 换 机 会 弹出 信息 ， 提 示 配 置 已 经 被 改变 。 


[Sl1]Jun 21 2013 05:57:28-08:00 S1 DS/4/DATASYNC CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3,1 configurations 


have been changed. 


使 用 display stp 命令 查看 此 时 的 定时 器 值 。 
<Sl>display stp 

-------[CIST Global Info][Mode STP] 
CIST Bridge :0 .4clf-ce73-c72d 

Config Times ‘Hello 2s MaxAge 20s FwDIly 20s MaxHop 20 
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Active Times :Hello 2s MaxAge 20s FwDly 20s MaxHop 20 
CIST Root/ERPC :0 4clf-ce73-c72d /0 


可 以 观察 到 ， 此 时 修改 已 经 完成 。 如 果 在 非 根 交换 机 上 配置 ， 那 么 Config Times 配 
置 值 会 发 生 改变 ， 而 Active Times 实际 运行 值 不 会 改变 。 
再 回 到 PC-4 上 观察 到 PC-2 的 连通 性 测试 结果 。 


From 10.1.1.2: bytes=32 seq=46 ttl=128 time=78 ms 
From 10.1.1.2: bytes=32 seq=47 ttl=128 time=109 ms 
From 10.1.1.2: bytes=32 seq=48 ttl=128 time=110 ms 
From 10.1.1.2: bytes=32 seq=49 ttl=128 time=78 ms 
Request timeout! 


观察 到 出 现 大 量 丢 包 现象 。 

如 果 更 改 STP 的 Hello Time 时 间 及 其 他 计时 器 也 会 出 现 相同 的 现象 ,这 里 不 再 蒙 述 。 
所 以 不 建议 使 用 命令 直接 修改 定时 器 时 间 , 而 建议 使 用 stp bridge-diameter 命 令 设置 网 络 
直径 ， 交 换 机 会 根据 网 络 直径 自动 计算 出 3 个 时 间 参 数 的 最 优 值 。 注 意 ， 本 命令 需要 在 
根 交 换 机 上 配置 才能 生效 。 

在 Sl 上 使 用 stp bridge-diameter 3 命令 设置 网 络 的 直径 为 3。 


[Si]stp bridge-diameter 3 

配置 完成 后 ， 观 察 STP 计时 器 的 改变 情况 。 
[Sll]display stp 

-—-----[CIST Global Info][Mode STP]---—--- 

CIST Bridge :0 4clfcc73-c72d 

Config Times :Hello 2s MaxAge 12s FwDIy 9s MaxHop 20 
Active Times :Hello 2s MaxAge 12s FwDly 9s MaxHop 20 


可 以 观察 到 ， 此 时 最 大 老化 时 间 被 自动 修改 为 12s， 转 发 延迟 被 自动 修改 为 9s。 
同时 对 PC-4 到 PC-2 连通 性 测试 结果 再 次 进行 观察 。 


From 10.1.1.2: bytes=32 seq=18 ttl=128 time=63 ms 
From 10.1.1.2: bytes=32 seq=19 ttl=128 time=78 ms 
Request timeout! 
Request timeout! 


From 10.1.1.2: bytes=32 seq=30 ttl=128 time=78 ms 
From 10.1.1.2: bytes=32 seq=31 ttl=128 time=78 ms 
From 10.1.1.2; bytes=32 seq=32 ttl=128 time=62 ms 


可 以 观察 到 ， 此 时 网 络 恢复 了 正常 。 

3.， 验证 Forward Delay 定时 器 

为 了 验证 Forward Delay 时 间 对 端口 状态 迁移 的 影响 ， 仍 然 维持 上 一 步骤 中 PC-4 到 
PC-2 的 连通 性 测试 。 

在 S1、S2、S3、S4 上 查看 STP 下 的 各 个 端口 的 状态 。 

<S1>display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
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0 Ethernet0/0/4 DESI FORWARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 


可 以 观察 到 ， 由 于 Sl 是 根 交 换 机 ， 所 以 S1 的 所 有 端口 都 是 DP 端口 即 指定 端口 ， 
所 处 状态 都 是 转发 状态 。 
同 理 观 察 其 他 交换 机 的 STP 接口 状态 。 


<S2>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 
<S3>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/3 DESI FORWARDING NONE 
0 Ethernet0/0/4 1) ROOT FORWARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 
<S4>display stp brief 
MSTID Port Role STP State Protection 
0 Ethemet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 


可 以 观察 到 , 此 时 S2 和 S3 接口 都 属于 转发 状态 , S4 的 E 0/0/2 接口 为 根 端口 ,E 0/0/3 
接口 处 于 阻塞 状态 。 

现在 将 S4 的 E0/0/2 接口 关闭 ， 使 E 0/0/3 接口 成 为 新 的 根 端口 。 

请 注意 ， 在 华为 交换 机 上 ， 当 从 MSTP 模式 切换 到 STP 模式 ， 运 行 STP 协议 的 设 
备 上 端口 支持 的 端口 状态 仍然 保持 和 MSTP 支持 的 端口 状态 一 样 ， 仅 包括 Forwarding、 
Learning 和 Discarding。 又 由 于 华为 交换 机 上 默认 的 STP 模式 为 MSTP， 故 本 实验 中 ， 
STP 仅 支 持 3 个 状态 ，S4 的 E 0/0/3 接口 会 从 Discarding 状态 ， 再 经 过 Learning 过 渡 状 


态 ， 最 终 到 Forwarding 状态 ， 只 需 经 历 一 个 Forward Delay 的 时 间 。 


[S4]interface Ethernet 0/0/2 
[S4-Ethernet0/0/2]shutdown 


配置 完成 后 ， 观 察 连 通 性 测试 结果 。 


From 10.1.1.2: bytes=32 seq=11 ttl=128 time=109 ms 
From 10.1.1.2: bytes=32 seq=12 ttl=128 time=109 ms 
From 10.1.1.2: bytes=32 seq=13 ttl=128 time=47 ms 
From 10.1.1.2: bytes=32 seq=14 ttl=128 time=47 ms 
Request timeout! 








Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
From 10.1.1.2: bytes=32 seq=15 ttl=128 time=47 ms 
From 10.1.1.2: bytes=32 seq=16 ttl=128% time=63 ms 
From 10.1.1.2: bytes=32 seq=17 ttl=128 time=32 ms 


可 以 观察 到 ， 此 时 丢失 了 9 个 数据 包 。 这 是 因为 根据 上 一 步骤 的 配置 结果 ，Forward 
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Delay 时 间 为 9gs, 即 S4 上 该 端口 从 Discarding 状态 经 过 Learning 状态 ,最 终 到 Forwarding 
状态 需要 一 个 Forwad Delay 的 时 间 间 隔 。 
恢复 S4 的 EE0/0/2 接口 ， 并 在 根 交 换 机 S1 上 更 改 网 络 直径 为 默认 值 7。 


[S4jinterface Ethernet 0/0/2 
[S4-Ethernet0/0/2]Jundo shutdown 


[Sllstp bridge-diameter 7 


配置 完成 后 ， 查 看 S1 上 的 STP 信息 。 


[Slldisplay stp 

-------[CIST Global Info][Mode STP]------- 

CIST Bridge :0 .4c1f-cc73-c72d 

Config Times :Hello 2s MaxAge 20s FwDily 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 


可 以 观察 到 ，Forward 时 间 已 被 自动 修改 为 15s。 
现在 采用 相同 的 方法 , 关闭 S4 上 的 E 0/0/2 接口 , 测试 丢 包 情况 。 并 在 配置 完成 后 ， 
From 10.1.1.2: bytes=32 seq=33 ttl=128 time=53 ms 
From 10.1.1.2: bytes=32 seq=34 ttl=128 time=17 ms 
From 10.1.1.2: bytes=32 seq=35 ttl=128 time=30 ms 
From 10.1.1.2: bytes=32 seq=36 ttl=128 time=45 ms 
Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

From 10.1.1.2: bytes=32 beq=37 ttl=128 time=31 ms 
From 10.1.1.2: bytes=32 seq=38 tt]=128 time=37 ms 
From 10.1.1.2: bytes=32 seq=39 ttl=]128 time=52 ms 


可 以 观察 到 ， 丢 包 共 17 个 ， 即 验证 了 端口 状态 迁移 从 Discarding 状态 到 Forwarding 
状态 经 过 了 一 个 Forward Delay 的 15s 时 间 间 隔 。 


思考 
交换 机 端口 在 发 生 状 态 转 换 时 ， 都 有 哪些 状态 会 经 历 一 个 Forward Delay? 
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4.3 RSTP 基础 配置 


原理 概述 


IEEE 于 2001 年 发 布 的 802.1w 标准 定义 了 RSTP (Rapid Spanning-Tree Protocol， 
快速 生成 树 协 议 )， 该 协议 基于 STP 协议 ， 对 原 有 的 STP 协议 进行 了 更 加 细致 的 修改 
和 补充 。 

STP 协议 虽然 能 够 解决 环 路 问题 ， 但 是 也 存在 一 些 不 足 ， 比 如 STP 没有 细致 区 分 端 
口 状态 和 端口 角色 ;其 次 STP 端口 状态 共有 5 种 , 即 Disable、Blocking、Listening、Learning 
和 Forwarding， 收 敛 较 慢 。 而 且 ， 对 于 用 户 来 说 Listening、Learning 和 Blocking 状态 并 
没有 区 别 ， 都 不 转发 流量 。 根 据 STP 的 不 足 ，RSTP 做 出 了 改进 。 

RSTP 新 增加 了 2 种 端口 角色 ， 其 端口 角色 共有 4 种 : 根 端口 、 指 定 端口 、Alternate 
端口 和 Backup 端口 。 根 端口 和 指定 端口 的 作用 与 STP 协议 中 相同 ，Alternate 端口 和 
Backup 端口 的 描述 如 下 : 

国 Alternate 端口 就 是 由 于 学 习 (Learning) 到 其 他 网 桥 发 送 的 配置 BPDU 报 文 而 阻 
塞 的 端口 ，Alternate 端口 提供 了 从 指定 桥 到 根 的 另 一 条 可 切换 路 径 ， 作 为 根 端口 的 备份 
端口 ; 

图 Backup 端口 就 是 由 于 学 习 到 自身 发 送 的 配置 BPDU 报 文 而 阻塞 的 端口 ，Backup 
端口 作为 指定 端口 的 备份 ， 提 供 了 另 一 条 从 根 桥 到 相应 网 段 的 备份 通路 。 

RSTP 把 原来 的 5 种 状态 缩减 为 3 种 。 根 据 端 口 是 否 转发 用 户 流量 和 学 习 MAC 地 址 
来 划分 : 如 果 不 转 发 用 户 流量 也 不 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Discarding 状态 ; 
如 果 不 转 发 用 户 流 量 但 是 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Learning 状态 ， 如 果 既 转 
发 用 户 流 量 又 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Forwarding 状态 。 

RSTP 的 快速 收敛 机 制 可 分 为 以 下 3 种 。 

国 Proposal/Agreement 机 制 : 当 一 个 端口 被 选举 成 为 指定 端口 之 后 ， 在 STP 中 ， 该 
端口 至 少 要 等 待 一 个 Forward Delay (Learning) 时间 才 会 迁移 到 Forwarding 状态 。 而 在 
RSTP 中 , 此 端口 会 先进 入 Discarding 状态 , 再 通过 Proposal/Agreement 机 制 ( 可 简称 *P/A 
机 制 ”) 快速 进入 Forwarding 状态 。 这 种 机 制 必须 在 点 到 点 全 双 工 链 路 上 使 用 ; 

图 根 端口 快速 切换 机 制 : 如 果 网 络 中 一 个 根 端口 失效 , 那么 网 络 中 最 优 的 Alternate 
端口 将 成 为 根 端口 ， 进 入 Forwarding 状态 。 因 为 通过 这 个 Alternate 端口 连接 的 网 段 上 必 
然 有 个 指定 端口 可 以 通 往 根 桥 。 

加 边缘 端口 的 引入 : 在 RSTP 里 面 ， 如 果 某 一 个 指定 端口 位 于 整个 网 络 的 边缘 ， 
即 不 再 与 其 他 交换 设备 连接 ， 而 是 直接 与 终端 设备 直 连 ， 这 种 端口 叫做 边缘 端口 。 边 
缘 端 口 不 接收 处 理 配置 BPDU, 不 参与 RSTP 运算 ,可 以 由 Disable 直接 转 到 Forwarding 
状态 ， 且 不 经 历时 延 ， 就 像 在 端口 上 将 STP 禁用 。 但 是 一 旦 边缘 端口 收 到 配置 BPDU， 
就 赤 失 了 边缘 端口 属性 ， 成 为 普通 STP 端口 ， 并 重新 进行 生成 树 计 算 ， 从 而 引起 网 络 
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实验 目的 


。 理解 RSTP 的 应 用 场景 

。 掌握 RSTP 的 基本 配置 

。 掌握 RSTP 的 边缘 端口 的 应 用 
e 理解 RSTP 备份 端口 


实验 内 容 
本 实验 模拟 公司 网 络 场景 。S3 和 S4 是 接 入 层 交 换 机 ， 负 责 用 户 的 接 入 ，S1 和 S2 

是 汇聚 层 交 换 机 ， 四 台 交 换 机 组 成 一 个 环形 网 络 。 为 了 防止 网 络 中 出 现 环 路 ， 产 生 网 络 

风暴 ， 所 有 交换 机 上 都 需要 运行 生成 树 协议 。 同 时 为 了 加 快 网 络 收敛 速度 ， 网 络 管理 员 


选择 使 用 RSTP 协议 ， 且 使 得 性 能 较 好 的 S1 为 根 交 换 机 ，S2 为 次 根 交 换 机 ， 并 配置 边 
缘 端 口 进一步 优化 公司 网 络 。 


实验 拓扑 
RSTP 基础 配置 拓扑 如 图 4-3 所 示 。 


GE 0/0/1 GE 0/0/1 


GE 0/0/2 








Ethernet 0/0/2 Ethernet 0/0/2 


Ethermet 0/0/3 。 Ethernet 0/0/2 Ethernet 0/0/0 
Eg 
Ethernet 0/0/4 Ethermet 0/0/4 
HUBI1 


es S4 
Ethernet 0/0/3 Ses 


Ethernet 0/0/1 Ethernet 0/0/1 


Ethernet 0/0/1 Ethemet 0/0/1 





PC-1 PC-2 
We | 
4-3 RSTP 基础 配置 拓扑 
实验 编 址 
实验 编 址 见 表 4-4。 
表 4-4 实验 编 址 









a ”IP 地 址 l 子 网 掩 和 ” ”默认 网 
Ethernet 0/0/1 10.1.1.1 255.255.255.0 
Ethernet 0/0/1 10.1.1.2 255.255.255.0 
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MAC 地 址 
本 实验 的 MAC 地 址 见 表 4-5。 
表 4-5 MAC 地 址 
S1 (S3700) 4clf-cc33-9812 
S2 (S3700) 4clf-cc4a-bea9 
S3 (S3700) 4clf-cc32-b9d7 
S4 (S3700) 4clf-cc10-279a 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。PC-1 的 配置 如 图 4-4 所 示 ，PC-2 的 配置 方法 相同 ， 此 处 省 略 。 














图 4-4 PC-1 配置 界面 


配置 完成 后 ， 测 试 主机 间 的 连通 性 。 

PC>ping 10.1.1.2 - 
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.2: bytes=32 seq=1 tt=128 time=47 ms 
From 10.1.1.2: bytes=32 seq=2 ttl=128 time=62 ms 
From 10.1.1.2; bytes=32 seq=3 ttl=128 time=32 ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=78 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=31 ms 
~-- 10.1.1.2 ping statistics -~- 


第 4 章 生成 树 107 


S packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/50/78 ms 


可 以 观察 到 ， 连 通 性 测试 成 功 。 

2. 配置 RSTP 基本 功能 

在 汇聚 层 交 换 机 S1I、S2 及 接 入 层 交 换 机 S3、S4 上 ， 把 生成 树 模式 由 默认 的 MSTP 
改 为 RSTP。 由 于 华为 交换 机 上 默认 即 开 启 了 MSTP， 故 只 需 修改 生成 树 模式 即 可 。 


[S1]stp mode rstp _ 
Info: This operation may take a few seconds. Please wait for a moment...done. 


[S2]stp mode rstp 
Info: This operation may take a few seconds. Please wait for a moment...done. 


[S3]stp mode rstp 
Info; This operation may take a few seconds. Please wait for a moment...done, 


[S4]stp mode rstp 
Info: This operation may take a few seconds. Please wait for a moment...done. 


配置 完成 后 ， 在 交换 机 S1、S2、S3 和 S4 上 都 使 用 display stp 命令 去 查看 生成 树 的 


模式 及 根 交换 机 的 位 置 。 
<S1>display stp 
-~--[CIST Global Info][Mode RSTP]------- 
CIST Bridge :32768,4c1fcc33-9812 
Config Times :Hello 2s MaxAge 208SFwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 
CIST Root/ERPC :32768.4clf-ce10-279a/2 


CISTRegRoot/IRPC :32768.4clf-cc33-9812/0 


ennes 


<S2>display stp 

~------[CIST Global Info][Mode RSTP]------- 

CIST Bridge :32768,4c1f-cc4a-bea9 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
GIST RooVERPC :32768.4clf-ce10-279a/1 


CIST RegRooUIRPC :32768.4clf-cc4a-bea9/0 


we 


<S3>display stp 

一 [CIST Global Info][Mode RSTP]------- 

CIST Bridge ;32768.4c1f-cc32-b9d7 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 28 MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :32768.4clf-ce10-279a /1 


CIST RegRoot/IRPC :32768.4clf-cc32-b9d7/0 


emer 


<S4>display stp 
—-—[CIST Global Info][Mode RSTP]------ 
CIST Bridge :32768.4c1f-ce10-279a 


Config Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
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Active Times :Hello 2s MaxAge 20s FwDiy 15s MaxHop 20 
CIST Root/ERPC :32768.4clf-ce10-279a /0 
CIST RegRootIRPC :32768.4clf-cc10-279a/0 


se 


上 述 信息 中 ，CIST Bridge 是 交换 机 自己 的 ID， 而 CIST Root 是 根 交 换 机 的 ID。 根 
交换 机 是 交换 机 ID 最 小 的 交换 机 ， 所 以 ， 观 察 可 知 ，S4 是 当前 的 根 交换 机 。 

在 RSTP 构建 的 树 形 拓扑 中 ， 网 络 管理 员 需 要 设置 汇聚 层 主 交 换 机 S1 为 根 交 换 机 ， 
汇聚 层 交 换 机 S2 为 备份 根 交换 机 。 


[S1]stp root primary 

[S2]stp root secondary 

配置 完成 后 ， 同 样 在 S1 上 使 用 display stp 命令 观察 。 
[S1]display stp 
一 一 -[CIST Global Info][Mode RSTP]--—---- 

CIST Bridge :0 .4clf-cc33-9812 | 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 

Active Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 

CIST RooVERPC :0 .4clf-cc33-9812/0 


CIST RegRoot/IRPC :0 .4clf-cc33-9812/0 
CIST RootPortId :0.0 

BPDU-Protection :Disabled 

CIST Root Type :Primary root 

TC or TCN received :33 


ee 


可 以 观察 到 ，stp root primary 命令 修改 的 是 交换 机 ID 中 的 交换 机 优先 级 ， 把 默认 
的 优先 级 由 32768 改 为 0, 所 以 S1 的 交换 机 ID 变 为 最 小 , 是 Primary root， 即 根 交换 机 。 
在 S2 上 使 用 display stp 命令 观察 。 


[S2jdisplay stp 

一 一 -[CIST Global Info][Mode RSTP]---—--- 

CIST Bridge :4096 .4c1f-cc4a-bea9 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 


CIST Root/ERPC :0 .4clfcc33-9812 /1 
CIST RegRoot/IRPC :4096 .4c1f-cc4a-bea9 10 
CIST RootPortId :128.1 

BPDU-Protection :Disabled 

CIST Root Type :Secondary root 

TC orTCN received :23 


可 以 观察 到 ，stp root secondary 命令 修改 的 也 是 交换 机 ID 中 的 交换 机 优先 级 ， 把 
默认 的 优先 级 由 32768 改 为 4096， 使 S2 的 桥 ID 变 为 次 小 ， 是 Secondary root， 即 次 根 
交换 机 。 

在 S3 和 S4 上 使 用 display stp 命令 观察 。 


<S3>display stp 时 
-—----[CIST Global Info][Mode RSTP]- 一 一 

CIST Bridge :32768.4c1f-cc32-b9d7 

Config Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 

Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 


CIST Root/ERPC :0 ，.4clfcc33-981211 
CIST RegRootIRPC :32768.4clf-ce32-b9d7/0 
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[S4]display stp 

-------[CIST Global Info][Mode RSTP]------- 

CIST Bridge :32768.4clf-cc10-279a 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 
CIST Root/ERPC :0 ‘4clf-cc33-9812 /2 


CIST RegRoot/IRPC :32768.4clf-cc10-279a/0 


可 以 观察 到 ，S3 和 S4 交换 机 的 交换 机 优先 级 保持 默认 的 32768， 且 都 把 S1 当 作 根 
交换 机 。 
继续 使 用 display stp brief 命令 查看 每 台 交 换 机 上 的 端口 角色 及 状态 。 


<S1>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthemet0/0/1 DESI FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 
根 交 换 机 S1 上 无 根 端口 ， 所 有 端口 都 是 指定 端口 。 
<S2>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 
交换 机 S2 上 的 GE 0/0/1 是 根 端口 。 
<S3>display stp brief 
MSTID Port Role ， STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 DESI FORWARDING NONE 
0 Ethernet0/0/4 BACK DISCARDING NONE 
交换 机 S3 上 的 E 0/0/2 是 根 端 口 ，E 0/0/3 是 指定 端口 ， 而 E 0/0/4 是 备份 端口 。 
<S4>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


交换 机 S4 上 的 E 0/0/2 是 根 端口 ，E 0/0/3 是 替代 端口 。 

通过 下 面 的 操作 ， 观 察 S2 上 端口 的 状态 变化 。 

目前 S2 的 GE 0/0/1 端口 是 根 端口 ， 其 他 所 有 端口 是 指定 端口 。 如 果 S2 的 根 端口 断 
掉 了 ，S2 会 选择 把 其 他 到 达 根 交换 机 的 端口 置 成 根 端口 。RSTP 协议 的 收敛 比较 快 ， 
端口 GE 0/0/2 会 快速 协商 成 为 新 的 根 端 口 ， 协 商 期 间 端 口 是 Discarding 状态 ， 协 商 结 
束 后 端口 为 Forwarding 状态 ， 这 个 过 程 所 需要 的 时 间 非 常 短 ， 这 就 是 RSTP 收敛 快 的 
一 个 表现 。 

模拟 根 端口 断 掉 的 过 程 ， 把 S2 的 GE 0/0/1 端口 使 用 shutdown 关闭 ， 同 时 ， 使 用 
display stp brief 命令 观察 S2 上 其 他 端口 的 角色 及 状态 的 变化 。 

[S2]interface GigabitEthernet0/0/1 

[S2-GigabitEthernet0/0/1]shutdown 


Jun 26 2013 01:01:24-08:00 S2 %%01PHY/1/PHY (D2]: GigabitEthernet0/0/1: chang 
© status to down 
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[S2-GigabitEthernet0/0/1]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/2 DESI DISCARDING NONE 


可 以 观察 到 ， 端 口 GE 0/0/2 的 角色 还 是 指定 端口 ， 但 状态 是 Discarding。 再 次 使 用 
display stp brief 命令 时 ， 就 会 观察 到 端口 的 角色 为 根 端口 ， 且 处 于 转发 状态 。 
[S2-GigabitEthernet0/0/1]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/2 = ROOT FORWARDING NONE 


观察 结束 之 后 ， 恢 复 端口 。 


[S2-GigabitEthernet0/0/1]Jundo shutdown 
Jun 26 2013 01:01:47-08:00 S2 %%01PHY/1/PHY(DI4]: GigabitEthernet0/0/1: chang 


e statu 

[S2-GigabitEthernet0/0/1]display stp brief | 

MSTID Port Role STP State Protection if 
0 GigabitEthemet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI DISCARDING NONE 


可 以 观察 到 , 端口 GE 0/0/2 的 角色 是 指定 端口 , 状态 是 Discarding。 再 次 使 用 display 
stp brief 命令 时 ， 就 会 观察 到 GE 0/0/2 会 经 历 Discarding 状态 回 到 Forwarding 状态 。 
[S2-GigabitEthernet0/0/1]display stp brief 


MSTID Port Role STP State Protection 
0 GigabitEthermet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 


当 拓 扑 发 生变 化 时 ，RSTP 使 用 P/A 机 制 和 根 端口 快速 切换 机 制 使 端口 状态 立即 从 
Discarding 进入 Forwarding 状态 ， 缩 短 了 收敛 的 时 间 ， 减 小 了 对 网 络 通信 的 影响 。 

3. 配置 边缘 端口 

生成 树 的 计算 主要 发 生 在 交换 机 互 连 的 链 路 之 上 ， 而 连接 PC 的 端口 没有 必要 参与 
生成 树 计算 ， 为 了 优化 网 络 ， 降 低 生成 树 计算 对 终端 设备 的 影响 ， 现 在 网 络 管理 员 把 交 
换 机 上 连接 PC 的 接口 配置 为 边缘 端口 。 

作为 对 比 ， 在 将 S4 上 的 E 0/0/1 配置 为 边缘 端口 之 前 ， 先 把 端口 关闭 再 开启 ， 观 察 


端口 状态 的 变化 。 
[S4]display stp brief . 
MSTID Port Role STP State Protection 
0 Ethemet0/0/1 DESI FORWARDING NONE 
0 Ethemet0/0/2 ROOT FORWARDING NONE 
0 Ethemet0/0/3 ALTE DISCARDING NONE 
[S4]Jinterface Ethernet0/0/1 
[S4-Ethernet0/0/1]shutdown 
[S4-Ethermet0/0/1Jundo shutdown 
[S4-Ethernet0/0/1]display stp brief 
MSTID Port Role STP State Protection 
0 Ethemet0/0/1 | DESI DISCARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 
可 以 观察 到 初始 状态 为 Discarding，15 秒 之 后 ， 接 口 将 进入 Learning 状态 。 
[S4-Ethernet0/0/1]display stp brief 
MSTID Port Role STP State Protection 
0 Ethemet0/0/1 DESI LEARNING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


保持 在 Learning 状态 15s 后 ， 接 口 最 终 进入 到 Forwarding 状态 。 
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[S4-Ethemet0/0/1]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


所 以 一 个 接口 如 果 参 与 生成 树 计算 ， 要 经 过 Discarding 和 Learning 状态 ，30s 后 才 
配置 S4 上 连接 PC 的 端口 为 边缘 端口 ， 此 时 生成 树 计算 工作 依然 进行 ， 但 端口 进入 
转发 状态 无 需 等 待 30s。 


[S4jinterface EthernetO/O/1 
[S4-Ethernet0/0/1]stp edged-port enable 


在 S4 上， 做 同样 的 模拟 过 程 ， 关 闭 E 0/0/1 接口 ， 再 重新 开启 此 端口 ， 观 察 边缘 端 
口 E O/OV1 的 状态 变化 。 
[S4-Ethernet0/0/1]shutdown 


[S4-Ethernet0/0/1]jundo shutdown 
[S4-Ethernet0/0/1]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


可 以 观察 到 ， 接 口 立 刻 进入 到 Forwarding 状态 ， 没 有 30s 的 延迟 。 

在 使 用 RSTP 的 环境 中 ， 可 以 在 交换 机 上 把 连接 PC、 路 由 器 和 防火 墙 的 端口 都 配 
置 为 边缘 端口 ， 边 缘 端 口 能 降低 终端 设备 访问 网 络 需 要 等 待 的 时 间 ， 明 显 提高 网 络 的 
可 用 性 。 

4. 查看 备份 端口 状态 

网 络 管理 员 在 S3 与 S4 之 间 加 了 一 台 Hub 设备 ， 并 将 S3 的 E 0/0/4 通过 Hub 与 S4 
相连 。 

在 S3 上 使 用 display stp brief 命令 查看 生成 树 信 息 。 


[S3]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 DESI FORWARDING NONE 
0 Ethemet0/0/4 BACK DISCARDING NONE 


可 以 观察 到 ，S3 的 EE 0/0/3 接口 为 指定 端口 ， 而 同 交 换 机 上 的 了 0/0/4 为 备份 端 
口 ， 两 个 接口 接 到 同一 台 Hub 上 ， 当 E 0/0/3 接口 关闭 之 后 ，E 0/0/4 会 成 为 新 的 指定 


观 口 。 
在 S3 上 关闭 E 0/0/3 接口 ， 通 过 display stp brief 命令 查看 备份 端口 的 状态 变化 。 


[S3jinterface Ethernet0/0/3 
[S3-Ethernet0/0/3]shutdown 
[S3-Ethernet0/0/3]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethermet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/4 BACK DISCARDING NONE 


[S3-Ethernet0/0/3]display stp brief 
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MSTID Port Role STP State Protection 
0 Ethemet0/0/] DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethemet0/0/4 DESI LEARNING NONE 

[S3-Ethernet0/0/3]display stp brief 

MSTID Port , Role STP State Protection 
0 Ethemet0/0/1 | DESI FORWARDING NONE 
0 Ethemet0/0/2 ROOT FORWARDING NONE 
0 Ethemet0/0/4 | DESI FORWARDING NONE 

[s3 -Ethernet0/0/3] 


可 以 观察 到 ，S3 上 的 指定 接口 断 掉 后 ，E 0/0/4 接口 角色 发 生变 化 ， 状 态 会 由 
Discarding、Learning 最 终 到 Forwarding 状态 ， 指 定 接口 现在 是 E 0/0/4， 指 定 交 换 机 还 
是 S3，S3 仍然 为 Hub 所 在 的 网 段 提供 访问 其 他 交换 机 的 数据 访问 路 径 。 

相似 的 过 程 ,在 S4 上 ,接口 E 0/0/2 是 根 端口 ,接口 E 0/0/3 是 替代 端口 , Discarding 
状态 。 当 S4 的 根 端口 E 0/0/2 关闭 之 后 ， 接 口 E 0/0/3 会 立即 替代 E 0/0/2 成 为 新 的 根 


端口 。 
[S4]display stp brief 
MSTID Port Role ST?P State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
~ Ethernet0/0/2 ROOT FORWARDING NONE 
Ethernet0/0/3 ALTE DISCARDING NONE 
把 S4 上 的 根 端 口 了 0/012 关闭 掉 ， 观 察 替 代 端 口 E 0/0/3 的 状态 及 角色 的 变化 。 
[S4]interface ethernet0/0/2 
[S4-Ethernet0/0/2]shutdown 
[S4-Ethernet0/0/2]display stp brief 
MSTID Port Role STP State Protection 
和 Ethernet0/0/1 DESI FORWARDING NONE 
Ethernet0/0/3 ROOT FORWARDING NONE 


RE 协议 收敛 很 快 ， 所 以 替代 端口 立即 成 为 根 端口 。 

在 RSTP 中 ，Alternate 端口 和 Backup 端口 角色 所 对 应 的 最 终端 口 状态 都 是 
Discarding。 区 别 是 Alternate 端口 用 于 为 根 端口 做 备份 ， 而 Backup 端口 用 于 为 本 交换 机 
上 的 指定 端口 做 备份 ， 所 以 当 相 应 的 根 端口 或 指定 端口 断 掉 后 ， 备 份 端口 会 立即 承担 原 
有 的 根 端口 或 指定 端口 的 角色 ， 开 始 转发 数据 。 

RSTP 协议 是 对 STP 的 升级 ， 它 重新 划 定 端口 的 角色 及 状态 ， 使 用 更 快速 的 握手 协 
商机 制 ， 降 低 了 收敛 时 间 ， 使 它 成 为 继 STP 协议 后 首选 的 生成 树 协 议 ， 不 足 之 处 就 是 在 
同一 网 络 内 的 交换 机 上 所 有 的 VLAN 共用 同样 的 拓扑 ， 此 时 可 以 使 用 MSTP 来 优化 。 


思考 


S4 交换 机 的 E 0/0/2 接口 关闭 之 后 ，E 0/0/3 会 成 为 新 的 根 端口 , 如 果 此 时 $3 交换 机 
的 指定 端口 E 0/0/3 也 关闭 掉 ，S4 交换 机 上 会 发 生 端 口角 色 或 状态 的 改变 吗 ? 如 果 边 缘 
端口 收 到 BPDU， 此 端口 还 是 边缘 端口 吗 ? 
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4.4 ”MSTP 基础 配置 


原理 概述 


RSTP 在 STP 基础 上 进行 了 改进 ， 实 现 了 网 络 拓扑 快速 收敛 。 但 RSTP 和 STP 还 存 
在 同一 个 缺陷 ， 即 由 于 局 域 网 内 所 有 的 VLAN 共享 一 棵 生成 树 ， 链 路 被 阻塞 后 将 不 承载 
任何 流量 ， 造 成 带宽 浪费 ， 因 此 无 法 在 VLAN 间 实 现 数据 流量 的 负载 均衡 ， 还 有 可 能 造 
成 部 分 VLAN 的 报 文 无 法 转发 。 

通过 MSTP 把 一 个 交换 网 络 划 分 成 多 个 域 ， 每 个 域内 形成 多 棵 生成 树 ， 生 成 树 之 间 
彼此 独立 。 每 个 域 叫做 一 个 MST 域 (Multiple Spanning Tree Region，MST Region)， 每 
棵 生成 树 叫 做 一 个 多 生成 树 实 例 MSTI (Multiple Spanning Tree Instance ) 。 

实例 内 可 以 包含 多 个 VLAN。 通过 将 多 个 VLAN 映射 到 同一 个 实例 内 ， 可 以 节省 通 
信 开 销 和 资源 占用 率 。MSTP 各 个 实例 拓扑 的 生成 树 计 算 相互 独立 ， 通 过 这 些 实例 可 以 
实现 负载 均衡 。 把 多 个 相同 拓扑 结构 的 VLAN 映射 到 一 个 实例 里 ， 这 些 VLAN 在 端口 
上 的 转发 状态 取决 于 端口 在 对 应 MSTP 实例 的 状态 。 

MSTP 通过 设置 VLAN 映射 表 ( 即 VLAN 和 MSTI 的 对 应 关系 表 )， 把 YLAN 和 
MSTI 联系 起 来 每 个 VLAN 只 能 对 应 一 个 MSTI, 即 同 一 VLAN 的 数据 只 能 在 一 个 MSTI 
中 传输 ， 而 一 个 MSTI 可 能 对 应 多 个 VLAN。 


实验 目的 

e 掌握 MSTP 的 基础 配置 

。 掌握 配置 MSTP 多 实例 的 方法 

e 掌握 配置 MSTP 实现 流量 分 担 的 方法 

e 理解 MSTP 与 STP、RSTP 的 区 别 
实验 内 容 

某 公 司 二 层 网 络 由 三 台 交 换 机 S1、S2、S3 组 成 。 交 换 机 $1 与 S2 在 一 个 楼 层 ，S3 
在 男 一 楼 层 。PC-1 与 PC-2 属于 HR 部 门 ， 划 入 VLAN 10，PC-3 与 PC-4 属于 开 部 门 ， 
划 入 VLAN 20。 当 使 用 普通 STP 时 ，STP 将 会 阻塞 一 条 链 路 来 防止 环 路 产生 ， 导 致 该 链 


路 闲置 。 为 了 保证 所 有 链 路 都 能 充分 利用 , 使 流量 能 够 分 担 , 网 络 管理 员 通过 配置 MSTP 
来 实现 。 


实验 拓扑 
MSTP 基础 配置 拓扑 如 图 4-5 所 示 。 
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Ethernet O/0/] Gm 
PC-3 
Ethernet 0/0/2 


Ethernet 0/0/1 


Ethernet 0/0/1 





图 4-5 MSTP 基础 配置 拓扑 


实验 编 址 


实验 编 址 见 表 4-6。 
表 4-6 实验 编 址 











Ethernet 0/0/1 192.168.10.2 255.255.255.0 
Ethernet 0/0/1 192.168.20.1 255.255.255.0 
Ethernet 0/0/1 192.168.20.2 255.255.255.0 


Ethernet 0/0/1 192.168.10.1 255.255.255.0 


on " Na 六 


MAC 地 址 


本 实验 的 MAC 地 址 见 表 4-7。 
表 4-7 MAC 地 址 










S1 (S3700) 
S2 (S3700) 
S3 (S3700) 





4clf-cc4d-0fcf 
4clf-ccSe-3ea9 
4clf-ccf8-067¢c 






实验 步骤 


1. 基础 配置 
根据 编 址 表 ， 在 各 台 PC 上 配置 IP 地 址 。 
在 交换 机 SI1、S2、S3 上 创建 VLAN 10 与 VLAN 20， 并 将 连接 PC 的 端口 配置 成 为 
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Access 类 型 接口 , 划 入 相应 VLAN。 交 换 机 间 的 接口 配置 成 为 Trunk 接 口 ,允许 所 有 VLAN 


2. 理解 MSTP 的 运行 机 制 及 验证 单 实例 

当 网 络 管理 员 按 照 设 计 搭建 完 公司 二 层 网 络 后 ， 启 动 设备 。 在 华为 交换 机 上 默认 即 
运行 MSTP 协议 。 

在 S1 上 使 用 display stp 命令 查看 生成 树 的 状态 和 统计 信息 。 
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“可 以 观察 到 ,在 CIST 全 局 信息 中 ， 显 示 目 前 STP 模式 为 MSTP， 根 交换 机 为 S1 自 
身 ， 另 外 还 有 交换 机 各 个 接口 上 的 STP 信息 。 
使 用 display stp brief 命令 查看 S1、S2、S3 上 生成 树 的 状态 和 统计 的 摘要 信息 。 


可 以 观察 到 ， 此 时 S1 上 的 端口 都 为 指定 端口 ， 且 都 处 于 转发 状态 ， 为 根 交换 机 。 
S3 上 的 E 0/0/2 为 替代 端口 ， 处 于 丢弃 状态 。MSTID， 即 MSTP 的 实例 ID， 三 台 交 换 机 
上 目前 都 为 0， 即 在 默认 情况 下 ， 所 有 VLAN 都 处 于 MSTP 实例 0 中 。 

假如 网 络 管理 员 配置 STP 模式 为 RSTP， 最 终 选 举 出 来 的 根 交 换 机 及 被 阻塞 的 端口 
等 结果 将 和 目前 MSTP 的 选举 结果 一 致 ， 即 在 MSTP 的 单个 实例 中 ， 选 举 规则 与 RSTP 
一 致 ， 端 口角 色 和 状态 与 RSTP 也 一 致 。 

在 HR 部 门 的 PC-2 上 持续 发 送 ping 包 至 PC-1, 在 IT 部 门 的 PC-4 上 持续 发 送 ping 
包 至 PC-3 


同时 ， 在 S3 的 E0/0/1 接口 上 抓 包 观 察 ， 如 图 4-6 所 示 。 
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T1139 MST, Root = 32768/0/4c: 











图 4-6 抓 包 观 察 


可 以 观察 到 ， 目 前 VLAN 10 和 VLAN 20 的 数据 包 都 从 S2 的 接口 E 0/0/1 转发 。 
在 S3 的 E0/0/2 接口 上 抓 包 观 察 ， 如 图 4-7 所 示 。 


3 
站 


Root = pr 


15 31.231000 HuaweiTe_ 50:2e: 9c Spanning-tree- (for-bridges 5TP 
33. 县 ed 


RS3333333339333 
3 
EE 





图 4-7 抓 包 观 察 


可 以 观察 到 ， 在 S3 的 了 E 0/0/2 接口 上 ， 没 有 任何 数据 包 转 发 ， 只 接收 到 上 行 接口 周 
期 发 送 的 BPDU。 

此 时 S2 与 S3 间 的 链 路 完全 处 于 闲置 状态 ， 造 成 了 资源 的 浪费 ， 也 导致 了 S1 与 S3 
间 链 路 上 数据 转发 任务 繁重 ， 易 引起 拥塞 丢 包 。 为 了 能 够 有 效 地 利用 链 路 资源 ， 可 以 通 
过 配置 MSTP 的 多 实例 来 实现 。 

关闭 PC 上 的 ping 测试 。 

3. 配置 MSTP 多 实例 

MSTP 网 络 由 一 个 或 者 多 个 MST 域 组 成 ,每 个 MST 域 中 可 以 包含 一 个 或 多 个 MSTTL， 
即 MST 实例 。 MST 域 中 含有 一 张 VLAN 映射 表 , 描述 了 VLAN 与 MSTI 之 间 的 映射 关 
系 ， 默 认 情 况 下 所 有 VLAN 都 映射 到 MSTI 0 中 。MSTI 之 间 彼 此 独立 。 

在 S1 上 配置 MSTP 的 多 实例 。 使 用 stp region-configuration 命令 进入 MST 域 
视图 。 
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[S1]stp region-configuration 
[Sl-mst-region] 


使 用 region-name 命令 配置 MST 域名 为 huawei。 

[Sl-mst-region]region-name huawei 

使 用 revision-level 命令 配置 MSTP 的 修订 级 别 为 1。 

[Sl-mst-region]revision-leyel I 

使 用 instance 命令 指定 VLAN 10 映射 到 MSTI 1， 指 定 VLAN 20 映射 到 MSTI2。 


[Sl-mst-region]instance 1 vlan 10 

[Sl1-mst-regionlinstance 2 vlan 20 

使 用 active region-configuration 命令 激活 MST 域 配 置 。 

[Sl-mst-region]active region-configuration 

Info: This operation may take a few seconds. Please wait for a moment.,.done. 

在 S2、S3 上 做 同样 配置 ， 但 是 注意 ， 在 同一 MST 域 中 ， 必 须 具 有 相同 域名 、 修 订 
级 别 以 及 VLAN 到 MSTI 的 映射 关系 。 

[S2]stp region-configuration 

[S2-mst-region]region-name huawei 

[S2-mst-region]revision-level 1 

[S2-mst-region]instance 1 vlan 10 

[S2-mast-regionjinstance 2 vlan 20 

[S2-mst-region]active region-configuration 


[S3]stp region-configuration 
[S3-mst-region]region-name huawei 
[S3-mst-region]revision-level 1 
[S3-mst-region]jinstance 1 vlan 10 
[S3-mst-region]instance 2 vlan 20 
[S3-mst-regionlactive region-configuration 
配置 完成 后 ， 在 S1、S2、S3 上 使 用 display stp region-configuration 命令 查看 交换 
机 上 当前 生效 的 MST 域 配置 信息 。 
[Sl]display stp region-configuration 
Oper configuration 
Format selector :0 
Region name :huawei 
Revision level | 
Instance VLANs Mapped 
0 1to9, 11 to 19,21 to 4094 
1 10 
2 20 


[S2]display stp region-configuration 
Oper configuration 

Format selector :0 

Region name :huawei 

Revision level 味 

Instance VLANs Mapped 
0 1to9, 11 to 19,21to 4094 
1 10 
过 20 


[S3]display stp region-configuration 
Oper configuration 
Format selector :0 
Region name :huawei 
Revision level | 
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Instance VLANs Mapped 
0 lto9, 11 to 19,21to 4094 
10 
20 


可 以 观察 到 ， 所 有 交换 机 上 的 MST 域名 都 为 huawei， 修订 版 本 号 都 为 i 
VLAN 与 实例 间 的 映射 关系 相同 ,其 中 除 VLAN 10 与 20 之 外 ,其 余 VLAN et 
实例 0 中 。 

MSTP 多 实例 配置 完成 后 ， 在 HR 部 门 的 PC-2 上 持续 发 送 ping 包 至 PC-1 (使 用 ping 
192.168.10.1-t 命令 ), 在 IT 部 门 的 PC-4 上 持续 发 送 ping 包 至 PC-3 (使 用 ping 192.168.20.1 -t 
命令 )。 同 时 ， 在 S3 的 E0/0/1 接口 上 抓 包 观察 ， 如 图 4-8 所 示 。 








图 4-8 ” 抓 包 现象 


可 以 观察 到 ， 目 前 VLAN 10 和 VLAN 20 的 数据 包 仍 然 从 E 0/0/1 转发 。 
在 S3 的 E0/0/2 接口 上 抓 包 观 察 ， 如 图 4-9 所 示 。 


Ma 一 
yn USO0U eT TEs: Ze We -tree- (ror-0rioges Mp -MST NOOO = 3Z27O8]U/AC: IT Ce oUF Cr CO! 





= OO0T 一 
7 13.136000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 MST. Root = he Cost = 二 Port = 0x8001 
8 15.351000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 MST. Root = 32768/0/4¢ Of:cf Port = Ox8001 
91 iTe_50:2e:9c Spanning-tree-(for-bridges STP 151 MST. Root = 327| A Port «= Ox8001 
10 19.781000 HuaweiTe.50:2e:9cSpanning-tree- (for-bridges STP 151 MST. Root = 32768/0/4c:1f Port = 1 
1121 le_50:2e:9c Spanning-tree-(for-bridges STP 151 MST. Root = 32768/0/4c:1f 
12 24.212000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges 151 MST。Root = 32768/0/4c:1f: 
13 26.427000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 MST. Root = 32768/0/4c:1f: 
14 28. 542000 HuaweiTe_50:2e:9cSpanning-tree- (for-bridges STP 151 MST. Root = 32768/0/4¢:1f 
15 30.842000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 MST. Root = 32768/0/4c:1f 
16 33.057000 HuaweiTe_50:2e:9cSpanning-tree- (for-bridges STP 151 MST. Root = 32768/0/4c:1f: 
17 35,225000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 MST. Root = 32768/0/4c:1f 
18 37.456000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 MST, Root = 32768/0/4c:1f: 








4-9” 抓 包 现 象 


可 以 观察 到 , 在 E 0/0/2 接口 上 , 仍然 没有 任何 数据 包 转 发 ， 只 有 接收 到 的 上 行 接口 
周期 发 送 的 BPDU。 

关闭 PC 上 的 ping 测试 。 

现在 已 经 配置 了 MSTP 多 实例 , 但 由 于 每 个 MSTP 实例 都 进行 独立 的 生成 树 计 
算 ， 所 以 在 默认 不 变动 任何 生成 树 参数 的 情况 下 ， 其 实 每 棵 生成 树 的 选举 结果 是 一 

在 S1、S2、S3 上 使 用 display stp instance 0 brief 命令 查看 默认 实例 0 中 的 生成 树 
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状态 和 统计 的 摘要 信息 。 


<S1>display stp instance 0 brief 
MSTID Port 
0 Ethermet0/0/1 
0 Ethernet0/0/2 
0 Ethernet0/0/3 


<S2>display stp instance 0 brief 
MSTID Port 
0 Ethernet0/0/1 
0 Ethemet0/0/2 
0 Ethernet0/0/3 


<S3>display stp instance 0 brief 
MSTID Port 
0 Ethermnet0/0/1 
0 Ethermet0/0/2 
0 Ethernet0/0/3 
0 Ethernet0/0/4 
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Role 


STP State 


DESI FORWARDING 
DESI FORWARDING 
DESI FORWARDING 


Role 
ROOT 
ALTE 
DESI 
DESI 


STP State 

FORWARDING 
FORWARDING 
FORWARDING 


STP State 
FORWARDING 
DISCARDING 
FORWARDING 
FORWARDING 


Protection 
NONE 
NONE 
NONE 


NONE 


在 S1、S2、S3 上 使 用 display stp instance 1 brief 命令 查看 实例 1 中 的 生成 树 状态 


和 统计 的 摘要 信息 。 
<S1l>display stp instance 1 brief 
MSTID Port 
1 Ethemet0/0/1 
1 Ethernet0/0/2 
1 Ethernet0/0/3 


<S2>display stp instance 1 brief 


MSTID Port 
1 Ethernet0/0/1 
1 Ethemet0/0/2 


<S3>display stp instance 1 brief 
MSTID Port 
1 Ethemet0/0/1 
1 “Ethemet0/0/2 
1 Ethernet0/0/3 


Role 

DESI 
DESI 
DESI 


Role 
DESI 
ROOT 


Role 
ROOT 
ALTE 
DESI 


STP State 

FORWARDING 
FORWARDING 
FORWARDING 


STP State 
FORWARDING 
FORWARDING 


STP State 
FORWARDING 
DISCARDING - 
FORWARDING 


Protection 
NONE 
NONE 
NONE 


Protection 
NONE 
NONE 


Protection 
NONE 
NONE 
NONE 


在 S1、S2、S3 上 使 用 display stp instance 2 brief 命令 查看 实例 2 中 的 生成 树 状 态 


和 统计 的 摘要 信息 。 
<Sl>display stp instance 2 brief 
MSTID Port 
2 Ethernet0/0/1 
2 Ethemet0/0/2 


<S2>display stp instance 2 brief 
MSTID Port 
2 Ethermnet0/0/1 
2 Ethenet0/0/2 
2 Ethernet0/0/3 


<S3>display stp instance 2 brief 
MSTID Port 
2 Ethernet0/0/1 
2 Ethemet0/0/2 


Role 


STP State 


DESI FORWARDING 
DESI FORWARDING 


Role 
DESI 
ROOT 
DESI 


Role 
ROOT 
ALTE 


STP State 

FORWARDING 
FORWARDING 
FORWARDING 


STP State 
FORWARDING 
DISCARDING 


Protection 
NONE 
NONE 


Protection 
NONE 
NONE 
NONE 


Protection 
NONE 
NONE 
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2 Ethemet0/0/4 DESI DISCARDING NONE 

可 以 观察 到 ， 在 以 上 3 个 实例 中 ， 选 举 结果 是 一 致 的 ， 都 是 S3 的 E 0/0/2 接口 处 于 
Discarding 状态 。 

现在 要 实现 S2 与 $3 间 的 链 路 被 利用 ， 可 以 在 实例 1 中 ,保持 目前 生成 树 选举 结果 
不 变 ， 即 使 得 VLAN 10 中 的 HR 部 门 内 的 流量 通过 S1 与 S3 间 的 链 路 转发 。 在 实例 2 
中 ， 配 置 使 得 S2 成 为 根 交换 机 ， 阻 寨 S1 与 S3 间 的 链 路 ， 即 使 得 VLAN 20 中 的 IT 部 
门 的 流量 通过 S2 与 S3 间 的 链 路 转发 。 

在 S2 上 使 用 stp instance priority 命令 配置 其 成 为 实例 2 中 的 根 交 换 机 。 

[S2]stp instance 2 priority 0 

配置 完成 后 ， 在 S1、S2、S3 上 使 用 display stp instance 2 brief 命令 查看 实例 2 中 
的 生成 树 状态 和 统计 的 摘要 信息 。 








<S1>display stp instance 2 brief 、 
MSTID Port Role STPState Protection 
NONE 
Protection 
"NONE 
2 Ethermet0/0/3 DESI FORWARDING NONE 
<S3>display stp instance 2 brief 
MSTID Port Role ”STP State Protection 
55 所 到 过 二 大 OAITEBT DISCARDING NONE 
2 Ethermnet0/0/4 DESI FORWARDING NONE 


可 以 观察 到 ， 此 时 S2 成 为 了 实例 2 中 的 根 交换 机 ， 所 有 端口 都 为 指定 端口 ， 而 S3 
的 EE0/0/1 接口 为 替代 端口 ， 即 S1 与 $3 间 的 链 路 现 已 阻塞 。 

在 HR 部 门 的 PC-2 上 持续 发 送 ping 包 至 PC-1 (使 用 ping 192.168.10.1 -t 命 令 ), 在 
IT 部 门 的 PC-4 上 持续 发 送 ping 包 至 PC-3〈 使 用 ping 192.168.20.1 -t 命 令 )。 同 时 ,在 
S3 的 E0/0/1 接口 上 抓 包 观察 ， 如 图 4-10 所 示 。 








Tme Source Dertnason RE OS 可 > 
28 功 .670000Huawe1Te _ 4d: OF:ctSpanning-tree-(tor-bridges STP SY MST, Root = 32/b8/0/AC: IY:cc: a4d:Utict Cost = 0 Port = UX80OUZ 






5 aweiTe 4d:Of:cfSpanning-tree-(for~bridges STP 
人 on Wire (1208 bits), 151 bytes captured (1208 bits) 
IEEE 802.3 Ethernet 


| toricatLink Control EF 
四 Spanning Tree Protocol 





图 4-10 ” 抓 包 观察 


可 以 观察 到 ， 目 前 VLAN 10 的 流量 都 从 S3 的 E 0/0/1 接口 转发 。 
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在 S3 的 E 0/0/2 接口 上 抓 包 观 察 ， 如 图 4-11 所 示 。 


ngth jndo 








5 1.373000 HuaweiTe_50:2e:9cSp g-tree- bridges STP 151 MST. Root = 32768/0/4c:1if:ce:4d:Of:cf Cost = 0 
Sl MST, Root = 32768/0/4c:1f:cc:4d:Of: Cost = 0 


1 MST. Root = 32768/0/4c:1f:cc:4d:Of:cf Cost = 0 


图 4-11 抓 包 观察 


可 以 观察 到 ， 目 前 VLAN 20 的 流量 都 从 E 0/0/2 接口 转发 。 
至 此 ， 完 成 了 MSTP 的 多 实例 的 配置 ， 并 达到 了 流量 分 担 的 目的 ， 有 效 地 利用 了 网 
络 资源 ， 也 同时 使 得 S3 的 两 条 上 行 链 路 可 以 互相 备份 。 





MSTP 并 不 会 为 每 个 MSTI 生成 、 发送 一 份 独立 的 BPDU, 而 是 通过 在 IST BPDU 
中 的 Mrecord 字段 反映 VL AN 与 MSTI 的 映射 关系 。 
思考 

当 MSTP 和 RSTP 混合 使 用 的 时 候 ， 如 何 选举 根 桥 ? 





AN 


os 
mh) 
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5.1 GVRP 基 础 配置 
5.2 SmartLink 与 Monitor Link 


5.3 配置 Eth-Trunk 链 路 聚合 
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5.1 GVRP 基础 配置 


原理 概述 


GVRP (GARP VLAN Registration Protocol)， 中 文 名 为 GARP VLAN 注册 协议 ， 是 
GARP (Generic Attribute Registration Protocol， 通 用 属性 注册 协议 ) 的 一 种 应 用 ， 用 
于 注册 和 注销 VLAN 属性 。 使 得 交换 机 之 间 能 够 相互 交换 VLAN 配置 信息 ， 动 态 创 
建 和 管理 VLAN。 用 户 只 需要 对 少数 交换 机 进行 VLAN 配置 即 可 动态 地 传播 VLAN 
信息 。 

手工 配置 的 VLAN 称 为 静态 VLAN， 通 过 GVRP 协议 创建 的 VLAN 称 为 动态 
VLAN。GVRP 有 3 种 注册 模式 ， 不 同 的 模式 对 静态 VLAN 和 动态 VLAN 的 处 理 方式 
也 不 同 。 

加 Normal 模式 : 允许 该 接口 动态 注册 、 注 销 VLAN ,传播 动态 VLAN 以 及 静态 VLAN 
信息 ; 

国 Fixed 模式 : 禁止 该 接口 动态 注册 、 注 销 VLAN， 只 传播 静态 VLAN 信息 。 即 被 
设置 成 为 该 模式 下 的 Trunk 接口 , 即使 允许 所 有 VLAN 通过 , 实际 通过 的 VLAN 也 只 能 
是 手动 配置 的 那 部 分 ; 

国 Forbidden 模式 : 禁止 该 接口 动态 注册 、 注 销 VLAN， 不 传播 任何 除 VLAN 1 以 
外 的 任何 VLAN 信息 。 即 被 设置 成 为 该 模式 下 的 Trunk 接口 ,即使 允许 所 有 VLAN 通过 ， 
实际 通过 的 VLAN 也 只 能 是 VLAN 1。 


加 协议 可 以 在 交换 机 上 动态 的 创建 VLAN， 并 控制 Trunk 接口 允许 通过 的 
VLAN 列表 ， 但 并 不 能 自动 将 用 户 端口 划分 至 相应 VLAN 中 。 
实验 目的 


。 理解 GVRP 的 应 用 场景 

。 掌握 GVRP 的 配置 

。 理解 GVRP 不 同 注册 模式 的 区 别 

。 掌握 GVRP 配置 不 同 注册 模式 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。S1 和 S4 是 接 入 层 交 换 机 ， 分 别 连接 到 汇聚 层 交 换 机 S2 
和 S3， 公 司 不 同 部 门 员工 通过 接 入 层 交 换 机 连接 到 网 络 。 现 在 需要 在 交换 机 上 划分 
VLAN 隔离 不 同 部 门 ， 但 考虑 到 部 门 较 多 ， 且 随 着 发 展 ， 网 络 情况 可 能 会 越 来 越 复杂 ， 
采用 手工 配置 VLAN 的 方式 工作 量 会 非常 大 ， 而 且 容 易 导 致 配置 错误 。 此 时 可 以 通过 
GVRP 的 VLAN 自动 注册 功能 完成 VLAN 的 配置 。 
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实验 拓扑 
GVRP 基础 配置 的 拓扑 如 图 5-1 所 示 。 
这 GE 0/0/1 让 
GE 0/0/2 GE 0/0/2 
GE 0/0/1 
Ethernet 0/0/1 Ethernet 0/0/2 Ethernet 0/0/1 Ethernet 0/0/2 
Ethernet 0/0/1 Ethernet 0/0/1 Ethernet 0/0/1 





Ethernet 0/0/1 





== mW | 国 
PC-1 PC-2 PC-3 PC-4 
IIRNEEANO ONAN WavEAN Can 
图 5-1 ”GVRP 基础 配置 拓扑 
实验 编 址 
实验 编 址 见 表 5-1。 
表 5-1 实验 编 址 


| 子 网 掩 码 | 
Ethernet 0/0/1 | 1 | 255.255.255.0 
Ethernet 0/0/1 10.1.12 255.255.255.0 


接口 
Ethernet 0/0/1 10.1.1.3 255.255.255.0 
Ethernet 0/0/1 10.1.1.4 255.255.255.0 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 
的 连通 性 ， 在 没有 完成 划分 VLAN 之 前 各 PC 都 属于 默认 的 VLAN 1， 之 间 都 能 互通 。 
测试 PC-1 与 PC-2 间 的 连通 性 。 
PC>ping 10.1.1.2 
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.2: bytes=32 seq=]1 ttl=128 time=16 ms 
From 10.1.1.2: bytes=32 seq=2 ttj=128 time=31 ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 time<l ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=15 ms 
From 10.1.1.2: bytes=32 seq=5 tt}=128 time=15 ms 
-- 10.1.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
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0.00% packet loss 
round-trip min/avg/max = 0/15/31 ms 

其 余 主 机 间 的 连通 性 测试 省 略 。 

2. 配置 GVRP 单 向 注册 

在 公司 的 二 层 网 络 中 ,有 IT 和 HR 两 个 不 同 的 部 门 , 需要 将 它们 划分 到 不 同 的 VLAN 
中 去 。 如 果 按 照常 规 配置 方法 ， 要 手工 在 所 有 交换 机 上 都 创建 相应 的 VLAN。 后 续 如 果 
有 新 的 部 门 需要 新 增 VLAN， 或 者 二 层 网 络 整改 ， 都 要 随 之 修改 VLAN 配置 ， 配置 量 非 
常 大 且 易 出 错 ， 现 网 络 管理 员 采 用 GVRP 来 完成 VLAN 配置 。 

将 4 台 交 换 机 之 间 所 互 连 的 接口 (连接 PC 的 接口 除外 ) 的 接口 类 型 都 配置 为 Trunk， 
并 允许 所 有 VLAN 通过 。 

[Sillinterface GigabitEthernet 0/0/1 


[S1-GigabitEthernet0/0/1]port link-type trunk 
[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan all 


[S2jinterface GigabitEthernet 0/0/1 
[$2-GigabitEthernet0/0/1]port link-type trunk 
[S2-GigabitEthernet0/0/T]port trunk allow-pass vlan all 
[S2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S$2-GigabitEthernet0/0/2]port link-type trunk 
[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan all 


[S3Jinterface GigabitEthernet 0/0/1 
[$3-GigabitEthenet0/0/1]port link-type trunk 
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan all 
[S3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S3-GigabitEthernet0/0/2]port link-type trunk 
[S3-GigabitEthermnetO/0/2]port trunk allow-pass vlan all 


[S4]interface GigabitEthemet 0/0/1 

[S$4-GigabitEthernetO/0/1]port link-type trunk 

[S4-GigabitEthernet0/0/1]port trunk allow-pass vlan all 

在 S1 上 创建 VLAN 10 和 VLAN 20， 并 把 连接 PC 的 接口 类 型 配置 为 Access， 划 入 
到 相应 的 VLAN 中 。 

[Sljvlan 10 

[Sl-Vianl0]vlan 20 

[S1-Vlan20Jinterface EthernetO/0/1 

[S1-Ethernet0/0/1]port link-type access 

[S1-Ethemet0/0/1]port default vlan 10 

[S1-Ethemet0/0/1]interface Ethernet0/0/2 

[S1-Ethemet0/0/2]port link-type access 

[S1-Ethernet0/0/2]port default vlan 20 

在 所 有 交换 机 上 都 开启 GVRP 功能 ， 并 在 所 有 交换 机 两 两 互 连 的 接口 下 也 开启 
GVRP 功能 。GVRP 注册 模式 默认 为 Normal 模式 。 


[Sllgvp CT 
[S1Jinterface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1]gvrp 


[S2]gvmp 
[S2]jinterface GigabitEthernet 0/0/1 
[S$2-GigabitEthernet0/0/1]gvrp 
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[S2-GigabitEthernet0/0/1Jinterface GigabitEthernet 0/0/2 
[S2-GigabitEthernet0/0/2]gvrp 


[S3]gvrp 

[S3]interface GigabitEthernet 0/0/1 
[S3-GigabitEthernet0/0/1]gvp 
[S$3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S3-GigabitEthernet0/0/2Jgvrp 


[S4]gvrp 

[S4]interface GigabitEthernet 0/0/1 

[S4-GigabitEthernet0/0/1 ]gvmp 

配置 完成 后 ， 在 S2、S3、S4 上 使 用 display vlan 命令 查看 所 有 VLAN 的 相关 信息 。 
[S2]display vlan 

The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vian; *; Management-vian; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 


GEO/0/13(D) ~ GEO/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GEO/0/17(D) GEO/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GEO/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 dynamic TG:GE0/0/2(U) 

20 “dynamic TG:GE0/0/2(U) 


VID Statas Property MAC-LRN Statistics Description 

1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 
[S3jdisplay vlan 


The total number of vlansis : 3 

U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 

#; Protocol Transparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GEO0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GEO0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 dynamic TG:GE0/0/1(U) 

20 dynamic TG:GE0/0/1(U) 

VID Status Property MAC-LRN Statistics Description 

1 enable default enable disable VLAN 0001 

10 enable default enable disable VLAN 0010 
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可 以 观察 到 ，S2、S3、S4 都 动态 获得 了 VLAN 10 和 VLAN 20。 但 是 在 S2 上 只 有 
GE 0/0/2 加 入 了 这 两 个 VLAN， 同样 在 S3 上 只 有 GE 0/0/1 加 入 这 两 个 VLAN, 在 S4 上 
只 有 GE 0/0/1 加 入 了 这 两 个 VLAN。 这 是 因为 此 时 在 S2、S3、S4 上 只 有 左 侧 的 端口 收 
到 GVRP 的 注册 消息 ， 此 时 只 完成 了 单 向 注册 。 

由 于 PC-1 与 PC-3 同属 于 IT 部 门 ， 即 YLAN 10 内 ， 现 验证 它们 之 间 的 连通 性 。 


发 现 无 法 通信 ， 再 次 验证 了 此 时 只 完成 了 单 向 注册 。 

3. 配置 GVRP 双向 注册 

现 需 要 在 S4 上 也 手工 创建 VLAN 10 和 VLAN 20， 把 连接 PC 的 接口 的 模式 配置 为 
Access， 划 入 相应 VLAN 中 。 


配置 完成 后 ， 在 S2、S3 上 再 次 使 用 display vlan 命令 查看 。 
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The total number of vlans is : 3 

U: Up; D: Down:; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 

#: ProtocolTransparent-vlan; *#: Management-vian; 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


1 common UT:GEO/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GEO0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) . GE0/0/10(D) GEO/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GEO/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 dynamic TG:GEO/0/1(V) ~ GE0/0/2(U) 

20 dynamic TG:GE0/0/1(U) GE0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 
[S3]display vlan 

The total number of vlans is : 3 

U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 


#: ProtocolTransparent-vlan; *; Management-vlan; 


1 -common UT:GEO/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
.GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GEO/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GEO/0/13(D) GE0/0/14(D) -GE0/0/15(D) GE0/0/16(D) 
GEO/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/021(D) GE0/0/22(D) ”GE0/0/123(D) GE0/0/24(D) 

10 dynamic TG:GE0/0/1(U) GEO0/0/2(U) 

20 dynamic TG:GEO/0N(U) GE0/0/2(U) 


VID Status Property MAC-LRN Statistics 了 Description 

1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 此 时 两 台 汇聚 交换 机 的 右 侧 接 口 也 加 入 了 VLAN 10 和 VLAN 20。 因 为 
从 右 侧 收 到 了 S4 的 GVRP 注册 消息 ， 此 时 完成 了 双向 注册 。 
在 PC-1 上 验证 与 PC-3 之 间 的 连通 性 。 
PC>ping 10.1.1.3 
Ping 10.1.1.3: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.3: bytes=32 seq=1l tt=128time=78 ms 
From 10.1.1.3: bytes=32 seq=2 ttl=128 time=109 ms 
From 10.1.1.3: bytes=32 seq=3 节 =128 time=63 ms 
From 10.1.1.3: bytes=32 seq=4 ttl=128 time=62 ms 
From 10.1.1.3: bytes=32 seq=5 ttl=128 time=31 ms 
-- 10.1.1.3 ping statistics -—- 
5 packet(s) transmitted 
5 packet(s) received 
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0.00% packet loss 
round-trip min/avg/max = 31/68/109 ms 
此 时 可 以 正常 通信 ，PC-2 与 PC-4 的 连通 性 测试 这 里 省 略 。 
如 果 现 在 公司 网 络 整改 ， 需 要 添加 新 的 汇聚 交换 机 ， 或 者 替换 新 款 设 备 ， 或 者 增删 
VLAN 配置 ， 都 可 以 通过 GVRP 动态 实现 自动 配置 ， 不 再 需要 手工 配置 。 
4. 配置 GVRP 的 Fixed 模式 
现在 S3 的 GE 0/0/1 接口 下 将 GVRP 的 注册 模式 修改 为 Fixed 模式 。 


[S3]interface GigabitEthernet 0/0/1 
[S3-GigabitEthernet0/0/1]gvrp registration fixed 


在 S3 上 使 用 display vlan 命令 查看 。 


[S3]display vtan . ~ 
The total number of vlansis :3 


MP: Vlan-mapping; ST: Vlan-stacking; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GEO0/0/8(D) 
GE0/0/9(D) GEO/0/10(D) GEOO1ID) GE0/0/12(D) 
GEO/0/13(D) GEO/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GEO/0/17(D) GE0/0/i8(D) GE0/0/19(D) GE0/0/20(D) 
GEO0/2I(D) ~ GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 .dynamic TG:GE0/0/2(U) : 

20 dynamic TG:GE0/0/2(U) 

VID Status Property MAC-LRN Statistics Description 


1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


发 现在 GE 0/0/1 接口 已 经 无 法 动态 学 习 到 VLAN 信息 , 这 是 由 于 Fixed 模式 下 不 允 
许 动态 VLAN 在 接口 上 注册 ， 相 应 同 部 门 内 跨 交 换 机 的 两 台 PC 就 无 法 通信 。 

这 时 的 解决 办 法 有 两 种 ,一 种 是 在 S3 上 手工 创建 VLAN 10 和 VLAN 20, 另 一 种 是 
恢复 GE 0/0/1 接口 下 GVRP 注册 模式 为 Normal 模式 ， 做 相应 配置 即 可 。 

5 配置 GVRP 的 Forbidden 模式 

在 S2 的 GE 0/0/1 接口 下 将 GVRP 的 注册 模式 修改 为 Forbidden 模式 。 


[S2]interface GigabitEthernet 0/0/1 
[S2-GigabitEthernet0/0/1]gvrp registration forbidden 


在 S2 上 使 用 display vlan 命令 查看 。 
[S2]display vlan 
The total number of vlans is : 3 
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common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 

GE0/0/5(D) GE0/0/6(D) ~ GE0/0/7(D) GE0/0/8(D) 

GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 

GE0/0/13(D) GE0/0/14(D) GEO0/0/15(D) GE0/0/16(D) 

GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 

A GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 
10 common TG:GE0/0/2(U) 
20 common TG:GE0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 

1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 此 时 VLAN 10、VLAN 20 中 都 没有 GE 0/0/1 接口 加 入 。 
在 S2 上 手工 创建 VLAN 10 和 VLAN 20， 并 使 用 display vlan 命令 查看 。 


[S2]vlan batch 10 20 


[S2]display vlan 

The total number of vlans is :3 

U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 

#: ProtocolTransparent-vlan; *; Management-vlan; 


了 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GEO0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 common TG:GE0/0/2(U) 

20 common TG:GE0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 

1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


结果 还 是 一 样 ， 接 口 GE 0/0/1 仍然 没有 加 入 到 VLAN 10 或 VLAN 20 中 。 这 是 因为 
GE 0/0/1 接口 下 注册 模式 配置 成 了 Forbidden 模式 后 ， 将 只 允许 VLAN 1 通过 。 


思考 
GVRP 能 够 应 用 在 Hybrid 类 型 的 接口 上 吗 ? 


5.2 Smart Link 与 Monitor Link 


原理 概述 
在 以 太 网 络 中 ， 为 了 提高 网 络 的 可 靠 性 ， 通 常 采 用 双 归 属 上 行 方式 进行 组 网 ， 即 一 台 
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交换 机 同时 连接 两 台 上 行 交 换 机 ， 但 是 在 二 层 网 络 中 可 能 会 带 来 环 路 问题 。 为 了 解决 环 路 
问题 ， 可 以 采用 STP 技术 ,但 STP 的 收敛 时 间 较 长 ， 当 主 用 链 路 故障 时 ， 将 流量 切换 到 
备用 链 路 ， 只 能 是 达到 秒 级 的 收敛 速度 ， 不 适用 于 对 收敛 时 间 有 很 高 要 求 的 组 网 环境 。 

基于 上 述 原因 ， 华 为 公司 针对 双 归 属 上 行 组 网 提出 了 Smart Link 解决 方案 。 网 络 中 
两 条 上 行 链 路 在 正常 情况 下 ， 只 有 一 条 处 于 连通 状态 ， 而 另 一 条 处 于 阻塞 状态 ， 从 而 防 
止 了 环 路 引起 的 广播 风暴 。 当 主 用 链 路 发 生 故 障 后 ， 流 量 会 在 毫秒 级 的 时 间 内 迅速 切换 
到 备用 链 路 上 ， 保 证 了 数据 的 正常 转发 。 默 认 情 况 下 ， 当 原 主 用 链 路 故障 恢复 时 ， 将 维 
持 在 阻塞 状态 ， 不 进行 抢占 ， 从 而 保持 网 络 稳定 ， 可 以 手工 配置 回 切 功能 使 流量 切换 回 
原 主 用 链 路 。Smart Link 配置 简单 ， 便 于 操作 和 维护 。 

Smart Link 虽然 能 够 保证 设备 在 本 设备 上 行 链 路 发 生 故 障 后 快速 进行 倒 换 ， 但 对 于 
跨 设 备 的 链 路 故障 不 能 提供 有 效 保护 ,为 此 可 以 采用 Monitor Link。Monitor Link 用 于 扩 
展 Smart Link 的 链 路 备份 的 范围 ， 通 过 监控 上 游 设备 的 上 行 链 路 ， 达 到 上 行 链 路 故障 迅 
速 传达 给 下 游 设备 ， 从 而 触发 Smart Link 的 主 备 链 路 切换 ， 防 止 长 时 间 因 上 行 链 路 故障 
而 出 现 网 络 中 断 ， 使 Smart Link 备份 作用 更 为 完善 。 


实验 目的 


。 理解 Smart Link 的 应 用 场景 

。 掌握 Smart Link 组 的 基本 配置 

。 掌握 Smart Link 回 切 功能 的 配置 
e 掌握 Monitor Link 的 基本 配置 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 交 换 机 S4 作为 公司 出 口 设备 连接 外 网 ， 交 换 机 S1 是 接 
入 层 交 换 机 , 负责 员工 终端 接 入 , 接 入 交换 机 通过 两 台 交 换 机 S2 和 S3 双 上 行 连接 到 S4。 
针对 此 双 上 行 组 网 ， 为 了 实现 主 备 链 路 元 余 备 份 及 故障 后 的 快速 迁移 ， 部 署 使 用 Smart 
Link 技术 ， 且 为 了 进一步 扩展 Smart Link 的 备份 范围 ， 使 用 Monitor Link 联动 方式 监控 
上 游 设 备 的 上 行 链 路 来 完善 Smart Link。 


实验 拓扑 


Smart Link 与 Monitor Link 拓扑 如 图 5-2 所 示 。 


GE 0/0/1 
GE 0/0/1 


:图 


Ethernet RS Ethernet 0/0/4 
Ethernet 0/0/3 Ethernet 0/0/4 


ey 





sl 
图 5-2 Smart Link 与 Monitor Link 拓扑 
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实验 步骤 


1. 配置 Smart Link 

公司 接 入 层 交 换 机 S1 通过 S2 和 S3 双 上 行 链 路 连接 到 出 口交 换 机 S4， 为 了 实现 主 
备 链 路 宛 余 备份 及 快速 迁移 ， 需 要 在 S1 上 配置 Smart Link。 

在 S1- 上 创建 Smart Link 组 1， 并 开启 Smart Link 组 功能 。 

[Sli]jsmart-link group 

[Sl-smlk-groupl]smart-link enable 

配置 Smart Link 时 ， 需 要 在 相关 运行 Smart Link 的 接口 下 关闭 生成 树 协议 。 由 于 华 
为 交换 机 默认 开启 了 生成 树 协 议 , 因此 需要 关闭 S1 交换 机 上 E 0/0/3 和 了 E 0/0/4 接口 下 的 
生成 树 协议 。 

[Si]interface Ethernet 0/0/3 

[S1-Ethernet0/0/3]stp disable 

[S1-Ethernet0/0/3]interface Ethernet 0/0/4 

[S1-Ethernet0/0/4]stp disable 

注意 ， 如 果 相 应 接口 下 生成 树 协议 未 关闭 ， 在 配置 Smart Link 组 功能 时 会 报错 ， 将 
会 出 现下 面 的 提示 信息 。 

Error: Adding a port failed. The port is already enabled with STP 

进入 到 Smart Link 组 1 下 ， 配 置 E 0/0/3 为 主 接口 ，E 0/0/4 为 备份 接口 。 

[Sl]smart-link group 1 

[Sl1-smlk-group] jport Ethernet 0/0/3 master 

[S1-smlk-groupl lport Ethernet 0/0/4 slave 


配置 完成 后 ， 使 用 display smart-link group 1 命令 查看 主 备 状态 。 


[Sl]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-ce83-109¢ 


Member Role State Flush Count Last-Flush-Time 
Ethemet0/0/3 Master Active 0 0000/00/00 00:00:00 UTC+00:00 
BthernetO/0/4 Slave Inactive 0 0000/00/00 00:00:00 UTC+00:0 


可 以 观察 到 ，S1 交换 机 的 EE 0/0/3 为 主 接口 ， 且 状态 为 Active; E 0/0/4 为 备份 接口 ， 
状态 为 Inactive。 

2. 配置 回 切 功 能 

当 SI1 上 主 接口 E 0/0/3 出 现 故障 关闭 时 ， 备 份 接 口 会 立刻 切换 为 Active 状态 。 并 且 
默认 情况 下 ， 当 原 主 接口 恢复 时 ， 主 接口 不 会 自动 回 切 到 Active 状态 ， 需 要 手工 配置 回 
切 功 能 。 

将 S2 交换 机 EE 0/0/3 接口 关闭 ， 模 拟 故 障 发 生 ， 在 S1 上 观察 Smart Link 组 1 的 主 
备 状态 。 

[S2]interface Ethernet 0/0/3 

[S2-Ethernet0/0/3]shutdown 


[Slldisplay smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
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There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4c1 人 cc83-109c 


Member Role State Flush Count Last-Flush-Time 
Ethermet0/0/3 Master Inactive 0 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Active 0 0000/00/00 00:00:00 UTC+00:00 


可 以 观察 到 ，S1 交换 机 E 0/0/3 仍然 为 主 接 口 ， 但 是 状态 处 于 Inactive， 而 E 0/0/4 状 
态 此 时 为 Active。 
重新 开启 S2 的 E 0/0/3 接口 ， 再 次 在 S1 上 观察 Smart Link 组 1 的 主 备 状态 。 


[S2]interface Ethernet 0/0/3 
[S2-Ethemet0/0/3]undo shutdown 


[S1-Ethernet0/0/3]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-cc83-109¢ 


Member Role State Flush Count Last-Flush-Time 
Ethermnet0/0/3 Master Inactive - ~ 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Active 0000/00/00 00:00:00 UTC+00:00 


可 以 观察 到 ， 接 口 的 状态 没有 发 生变 化 E 0/0/3 接口 仍然 处 于 Inactive 状态 ， 并 没 
有 抢占 原来 的 Active 状态 。 即 当主 链 路 出 现 故 障 后 ， 会 自动 切换 到 备份 链 路 ; 而 当 原 主 
链 路 故障 恢复 后 ， 为 了 保持 网 络 稳定 ， 它 将 维持 在 阻塞 状态 ， 不 进行 抢占 。 如 果 需 要 原 
主 链 路 恢复 为 Active 状态 ， 可 以 通过 配置 Smart Link 组 回 切 功能 ， 在 回 切 定时 器 超时 后 
会 自动 切换 到 主 链 路 。 
在 S1 上 使 用 restore enable 命令 开启 回 切 功能 ， 并 将 回 切 时 间 设 置 为 30s〈 默 认为 
60s)。 
[Sl]smart-link group 1 
[Sl-smlk-groupl J]restore enable 
[Si-smlk-groupl Jtimer wtr 30 
等 待 30s 后 S1 上 会 弹出 如 下 信息 ， 即 已 经 产生 了 状态 的 切换 。 
Jun26 2013 18:53:09-08:00 S1 %%01SMLK/4/SMLK. STATUS LOG(U)[5]:The state of Smart link group 1 changed to MASTER. 
查看 Smart Link 组 1 的 主 备 状态 。 
[Sl]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
Witr-time is: 30 sec. 
There is no Load-Balance 


There is no protected-vlan reference-instance 
DeviceID: 4c1f-cc83-109c 


Member Role State Flush Count Last-Flush-Time 
Ethemet0/0/3 Master Active 0 0000/00/00 00:00:00 UTC+00:00 “ 
Ethernet0/0/4 Slave Inactive 0 0000/00/00 00:00:00 UTC+00:00 _ 


可 以 观察 到 ，S1 的 E 0/0/3 接口 状态 又 重新 恢复 到 Active 状态 ,而 E 0/0/4 接口 回 到 
了 Inactive 状态 。 

3. 配置 Monitor Link 

Monitor Link 是 对 Smart Link 进行 补充 而 引入 的 接口 联动 方案 ,用 于 扩展 Smart Link 
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的 链 路 备份 的 范围 。 通 过 监控 上 游 设备 的 上 行 链 路 ， 而 对 下 行 链 路 进行 同步 设置 ， 达 到 
上 游 设 备 的 上 行 链 路 故障 迅速 传达 给 下 行 设备 ， 从 而 触发 下 游 设备 的 Smart Link 的 主 备 
链 路 切换 ， 防 止 长 时 间 因 上 行 链 路 故障 而 出 现 网 络 故障 。 

正常 情况 下 ，S1 与 $2 之 间 的 链 路 为 主 链 路 ， 但 是 当 S2 的 上 行 接口 GE 0/0/1 故障 
时 ， Smart Eink 无 法 感知 故障 ， 不 会 发 生 切 换 ， 导 致 网 络 中 断 。 为 了 解决 这 一 问题 ， 需 
要 在 S2 上 配置 Monitor Link 监控 上 行 接口 ， 当 GE 0/0/1 故障 时 ， 使 S1 的 Smart Link 组 
切换 。 

为 了 模拟 该 场景 ， 现 将 S2 的 GE 0/0/1 接口 关闭 ， 并 查看 Smart Link 组 1 的 主 备 状态 。 


[S2]interface GigabitEthernet 0/0/1 
[S2-GigabitEthernet0/0/1]shutdown 


[Sildisplay smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
Witr-time is: 30 sec. | 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-ec83-109¢ 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Active 0 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Inactive 0 0000/00/00 00:00:00 UTC+00:00 


可 以 观察 到 ， 当 $2 的 上 行 GE 0/0/1 接口 出 现 故 障 以 后 ， 连 接 到 下 行 链 路 的 S1 交换 
机 无 法 感知 到 该 故障 ， 导 致 S1 交换 机 的 Smart Link 无 法 进行 切换 ， 这 样 会 导致 连接 到 
S1 交换 机 仍然 选择 E 0/0/3 接口 转发 数据 ， 无 法 正常 通信 。 

在 S2 上 启用 Monitor Link 组 1， 配 置 上 行 接口 为 GE 0/0/1， 下 行 接 口 为 E 0/0/3。 

[S2]monitor-link group 1 

[S2-mtlk-groupl jport GigabitEthernet 0/0/1 uplink 

[S2-mtlk-groupl]port Ethernet 0/0/3 downlink 

配置 完成 后 ， 再 次 查看 S1 的 Smart Link 组 1 的 主 备 状态 。 


[Sl]display smart-link group 1 
Smart Link group 1 information ; 
Smart Link group was enabled 
Witr-time is: 30 sec. 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-ce83-109¢ 


De Rs 和 天 1 消 贞 圣洁 Count a i ne 
Bl 0 0000/00/00 00:00:00 UTC+00:00 
EthernetO/0/# Slave | 0000/00/00 00:00:00 UTC+00:00 


观察 发 现 E 0/0/3 接口 状态 已 经 变 为 Inactive，E 0/0/4 接口 状态 成 为 了 Active， 流 量 
已 经 被 切换 到 了 0/0/4 接口 ， 保 证 了 用 户 流 量 的 正常 转发 。 

修改 Monitor Link 组 的 回 切 时 间 为 10 秒 (默认 为 3s)。 当 S2 的 上 行 接口 GE 0/0/1 
重新 恢复 以 后 ， 下 行 链 路 Smart Link 组 将 在 时 间 到 期 后 ， 重 新 回 切 到 主 链 路 。 

[S2-mtlk-groupl ltimer recover-time 10 

重新 开启 S2 的 GE 0/0/1 接口 。 


[S2]interface GigabitEthernet 0/0/1 
[S2-GigabitEthernet0/0/1]Jundo shutdown 
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等 待 40s 左右 〈 加 上 步骤 2 中 配置 的 Smart Link 回 切 时 间 )， 查 看 S1 的 Smart Link 
组 1 的 主 备 状态 。 
[S1]display smart-link group 1 
Smart Link group 1 information : 
Wir-time is: 30 sec， 
Thereisno Load-Balance | 
There is no protected-vlan reference-instance 
DeviceID: 4clf-cc83-109c 
Member Role / State Flush Count Last-Flush-Time 
‘Ethernet0/0/3 Master  — Active 0 0000/00/00 00:00:00 UTC+00:00 
Slave Inactive 0 0000/00/00 00:00:00 UTC+00:00 


EthernetO/0/4 
可 以 观察 到 ， 此 时 S1 的 EE 0/0/3 接口 重新 恢复 到 了 Active 状态 。 
思考 


Smart Link 和 Monitor Link 的 联合 使 用 可 以 确保 链 路 出 现 故 障 后 及 时 地 切换 ， 如 果 
所 有 链 路 都 正常 ， 是 否 所 有 数据 都 只 能 通过 主 链 路 转发 ? 


5.3 配置 Eth-Trunk 链 路 聚合 


原理 概述 


在 没有 使 用 Eth-Trunk 前 ， 百 兆 以 太 网 的 双 绞 线 在 两 个 互 连 的 网 络 设备 间 的 带宽 仅 
为 100Mbit/s。 若 想 达 到 更 高 的 数据 传输 速率 ， 则 需要 更 换 传输 媒介 ， 使 用 千 兆 光纤 或 升 
级 成 为 干 兆 以 太 网 。 这 样 的 解决 方案 成 本 较 高 。 如 果 采 用 Eth-Trunk 技术 把 多 个 接口 捆 
绑 在 一 起 ， 则 可 以 以 较 低 的 成 本 满足 提高 接口 带宽 的 需求 。 例 如 ， 把 3 个 100Mbit/s 的 
全 双 工 接口 捆绑 在 一 起 ， 就 可 以 达到 300Mbit/s 的 最 大 带宽 。 

Eth-Trunk 是 一 种 捆绑 技术 ， 它 将 多 个 物理 接口 捆绑 成 一 个 逻辑 接口 ,这 个 逻辑 接口 
就 称 为 Eth-Trunk 接口 ， 捆 绑 在 一 起 的 每 个 物理 接口 称 为 成 员 接口 。Eth-Trunk 只 能 由 以 
太 网 链 路 构成 。Trunk 的 优势 在 于 : 

四 负载 分 担 ， 在 一 个 Eth-Trunk 接口 内 ， 可 以 实现 流量 负载 分 担 ; 

田 提高 可 靠 性 ， 当 某 个 成 员 接 口 连接 的 物理 链 路 出 现 故障 时 , 流量 会 切换 到 其 他 可 
用 的 链 路 上 ， 从 而 提高 整个 Trunk 链 路 的 可 靠 性 ; 

国 增加 带宽 ，Trunk 接口 的 总 带宽 是 各 成 员 接 口 带 宽 之 和 。 

Eth-Trunk 在 逻辑 上 把 多 条 物理 链 路 捆绑 等 同 于 一 条 逻辑 链 路 ， 对 上 层 数 据 透 明 传 
输 。 所 有 Eth-Trunk 中 物理 接口 的 参数 必须 一 致 ，Eth-Trunk 链 路 两 端 要 求 一 致 的 物理 参 
数 有 : Eth-Trunk 链 路 两 端 相连 的 物理 接口 类 型 、 物 理 接口 数量 、 物 理 接 口 的 速率 、 物 理 
接口 的 双 工 方式 以 及 物理 接口 的 流 控 方 式 。 





是 负载 分 担 方法 将 经 过 Eth-Trunk 链 路 发 送 的 流量 分 布 在 聚合 
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组 内 的 不 同 物理 接口 ( 链 路 ) 上 的 。 
实验 目的 


。 理解 使 用 Eth-Trunk 的 应 用 场景 
。 掌握 配置 Eth-Trunk 链 路 聚合 的 方法 (手工 负载 分 担 模式 ) 
。 掌握 配置 Eth-Trunk 链 路 聚合 的 方法 (静态 LACP 模式 ) 


: 大 当前 VRP 版 本 的 S5700 交换 机 上 ，Eth-trunk 支持 manual load-balance 与 lacp 
两 种 工作 (创建 ) 模式 。 
实验 内 容 

本 实验 模拟 企业 网 络 环境 。S1 和 S2 为 企业 核心 交换 机 ，PC-1 属于 A 部 门 终端 
设备 ，PC-2 属于 B 部 门 终端 设备 。 根 据 企业 规划 ，S1 和 S2 之 间 线 路 原由 一 条 光纤 
线路 相连 ， 但 出 于 带宽 和 宛 余 角度 考虑 需要 对 其 进行 升级 ， 可 使 用 Eth-Trunk 实现 此 
实验 拓扑 

配置 Eth-Trunk 链 路 聚合 的 拓扑 如 图 5-3 所 示 。 





图 5-3 配置 Eth-Trunk 链 路 聚合 拓扑 


实验 编 址 


实验 编 址 见 表 5-2。 
表 5-2 志和 缚 泪 


Ethemet 0/0/1 Er 255.255.2550 | 
Ethemet 0/0/1 10.0.12 255.255.255.0 
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MAC 地 址 


本 实验 的 MAC 地 址 见 表 5-3。 
表 5-3 MAC 地 址 






全 局 MAC 地 址 
4clf-cc55-b90f 
4clf-cc71-68d4 









S1 (S5700) 
S2 (S5700) 











实验 步骤 


1. 基本 配置 

根据 实验 编 址 表 进 行 相 应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 PC 之 间 的 连通 性 。 
PC>ping 10.0.1.2 

Ping 10.0.1.2: 32 data bytes, Press Ctrl_C to break 

From 10.0.1.2: bytes=32 Seq=l tt=128 time=16 ms 

From 10.0.1.2: bytes=32 seq=2 tt=128 time=16 ms 

From 10.0.1.2: bytes=32 seq=3 ttl=128 time<] ms 

From 10.0.1.2: bytes=32 seq=4 ttl=128 time=16 ms 

From 10.0.1.2: bytes=32 seq=5 ttl=128 time=46 ms 

~- 10.0.1.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/18/46 ms 

其 余 PC 的 连通 性 测试 省 略 。 

由 于 本 实验 场景 需要 ， 首 先 要 将 S1 与 S2 上 互 连 的 GE 0/0/2 和 GE 0/0/5 接口 关闭 。 
[Sillinterface GigabitEthernet 0/0/2 

[S1-GigabitEthernet0/0/2]shutdown 

[S1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/5 

[S1-GigabitEthemet0/0/5]shutdown 


[S2]interface GigabitEthernet 0/0/2 
[S2-GigabitEthemet0/0/2]shutdown 
[S2-GigabitEthemet0/0/2]interface GigabitEthernet 0/0/5 
[S2-GigabitEthernet0/0/5]shutdown 


2. 未 配置 Eth-Trunk 时 的 现象 验证 

在 原 有 的 网 络 环境 中 ， 公 司 在 两 台 核 心 交 换 机 间 只 部 署 了 一 条 链 路 。 但 随 着 业务 增 
长 ， 数 据 量 的 增 大 ， 带 宽 出 现 了 瓶颈 ， 已 经 无 法 满足 公司 的 业务 需求 ， 也 无 法 实现 元 余 
备份 。 考 虑 到 以 上 问题 ， 公 司 网 络 管理 员 决 定 通过 增加 链 路 的 方式 来 提升 带宽 。 原 链 路 
只 有 一 条 , 带宽 为 1Gbit/s, 在 原 有 的 网 络 基础 上 再 增加 一 条 链 路 , 将 带宽 增加 到 2Gbit/s。 

模拟 链 路 增加 ， 开 启 S1 和 S2 上 的 GE 0/0/2 接口 。 


[Sllinterface GigabitEthernet 0/0/2 
[S1-GigabitEthernet0/0/2jundo shutdown 


[S2]Jinterface GigabitEthernet 0/0/2 
[S2-GigabitEthemet0/0/2]jundo shutdown 


增加 链 路 后 ， 网 络 管理 员 考 虑 到 ， 在 该 组 网 拓扑 下 ， 默 认 开 局 的 STP 协议 一 定 会 将 
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其 中 一 条 链 路 阻塞 掉 。 
查看 S1 和 S2 的 STP 状态 信息 。 


[Slldisplay stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
PP GigabitEthernet0/0/2 DESI FORWARDING NONE 
0 GigabitEthernet0/0/3 DESI FORWARDING NONE 
[S2]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 ALTE DISCARDING NONE 
0 GigabitEthernet0/0/3 DESI FORWARDING NONE 


可 以 观察 到 S2 的 GE 0/0/2 接口 处 于 丢弃 状态 。 如 果 要 实质 性 地 增加 S1 和 S2 之 间 
的 带宽 ， 显 然 单 靠 增 加 链 路 条 数 是 不 够 的 。 生 成 树 会 阻塞 多 余 接口 ， 使 得 目前 S1 与 S2 
之 间 的 数据 仍然 仅 通过 GE 0/0/1 接口 传输 。 

3， 配置 Eth-Trunk 实现 链 路 聚合 (手工 负载 分 担 模式 ) 

通过 上 一 步骤 ， 发 现 仅 靠 简单 增加 互 连 的 链 路 ， 不 但 无 法 解决 目前 带宽 不 够 用 的 问 

题 , 还 会 在 切换 时 带 来 断 网 的 问题 , 显然 是 不 合理 的 ,此 时 网 络 管理 员 通 过 配置 Eth-Trunk 
链 路 聚合 来 增加 链 路 带宽 ， 并 可 确保 元 余 链 路 。 

Eth-Trunk 工作 模式 可 以 分 为 两 种 : 

国 手工 负载 分 担 模式: 需要 手动 创建 链 路 聚合 组 ,并 配置 多 个 接口 加 入 到 所 创建 的 
Eth-Trunk 中 ; 

国 静态 LACP 模式 ; 该 模式 通过 LACP 协议 协商 Eth-Trunk 参数 后 自主 选择 活动 
接口 。 

在 S1 和 S2 上 配置 链 路 聚合 ， 创 建 Eth-Trunk 1 接口 ， 并 指定 为 手工 负载 分 担 模式 。 


[Sljinterface Eth-Trunk 1 
[S1-Eth-Trunkl]mode manual load-balance 





[S2]interface Eth-Trunk 1 
[S2-Eth-Trunkljmode manual load-balance 


将 Sl 和 S2 的 GE 0/0/1 和 GE 0/0/2 分 别 加 入 到 Eth-Trunk 1 接口 。 


[Sllinterface GigabitEthernet 0/0/1 
[S1-GigabitEthermet0/0/1]eth-trunk 1 
[S1-GigabitEthernet0/0/1]interface -GigabitEthernet 0/0/2 
[Sl1-GigabitEthernet0/0/2]eth-trunk 1 


[S2jinterface GigabitEthernet 0/0/1 

[S2-GigabitEthernet0/0/1]eth-trunk 1 

[S2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 

[S2-GigabitEthernet0/0/2]eth-trunk 1 

配置 完成 后 ， 使 用 display eth-trunk 1 命令 查看 S1 和 S2 的 Eth-Trunk 1 接口 状态 。 
[Slldisplay eth-trunk 1 

Eth-Trunkl's state information is: 

WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP 

Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8 

Operate status: up Number Of Up Port In Trunk: 2 
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PortName Status Weight 
GigabitEthernetO/0/1 Up 1 
GigabitEthernet0/0/2 Up 1 

[S2]display eth-trunk 1 

Eth-Trunkl's state information is: 

WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP 
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8 
Operate status: up Number Of Up Port In Trunk: 2 
PortName Status Weight 
GigabitEthernet0/0/1 Up - 
GigabitEthernet0/0/2 


Up 
可 以 观察 到 ，S1 与 S2 的 工作 模式 为 NORMAL (手工 负载 分 担 方 式 )，GE 0/0/1 与 
GE 0/0/2 接口 已 经 添加 到 Eth-Trunk 1 中 ， 并 且 处 于 UP 状态 。 
使 用 display interface eth-trunk 1 命令 查看 S2 的 Eth-Trunk 1 接口 信息 。 


[S2]display interface Eth-Trunk 1 
Eth-Trunkl current state : UP 
Line protocol current state : UP 
Description: 
Switch Port, PVID : 1, Hash arithmetic : According to SIP-XOR-DIPMaximal BW: 2G, Current BW: 2G, The Maximum 
Frame Length is 9216 
IP Sending Frames' Format is PKTFMT ETHNT 2, Hardware address is 4c1fcc71-68d4 
Current System time: 2013-06-29 22:34:26-08:00 
Input bandwidth utilization : 0% 
Output bandwidth utilization : 0% 


PortName Status Weight 
GigabitEthernet0/0/1 UP I 
GigabitEthernet0/0/2 . UP 1 


The Number of Ports in Trunk : 2 
The Number of UP Ports in Trunk : 2 


可 以 观察 到 ， 目 前 该 接口 的 总 带宽 ， 是 GE 0/0/1 和 GE 0/0/2 接口 带宽 之 和 。 


查看 S2 接口 的 生成 树 状态 。 
[S2]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/3 DESI FORWARDING NONE 
0 ”Eth-Trunkl ROOT FORWARDING NONE 


可 以 观察 到 ，S2 的 2 个 接口 被 捆绑 成 一 个 Eth-Trunk 接口 ， 并 且 该 接口 现在 处 于 转 
发 状态 D 

使 用 ping 命令 持续 测试 ， 同 时 将 S2 的 GE 0/0/1 或 者 GE 0/0/2 接口 关闭 模拟 故 
障 发 生 。 


了 PC>ping 10.0.1.2 -t 

Ping 10.0.1.2: 32 data bytes, Press Ctrl_C to break 
From 10.0.1.2: bytes=32 seq=1 节 =128 time=63 ms 
From 10.0.1.2: bytes=32 seq=2 ttl=128 time=31 ms 
From 10.0.1.2: bytes=32 seq=3 ttl=128 time=31 ms 
From 10.0.1.2: bytes=32 seq=4 ttl=128 time=16 ms 
From 10.0.1.2: bytes=32 seq=5 ttl=128 time=31 ms 
Request timeout! 
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From 10.0.1.2; bytes=32 seq=7 ttl=128 time=47 ms 

From 10.0.1.2: bytes=32 seq=8 ttl=128 time=15 ms 

From 10.0.1.2: bytes=32 seq=9 tt=128 time=31 ms 

From 10.0.1.2: bytes=32 seq=10 ttl=128 time=16 ms 

可 以 观察 到 ， 当 链 路 故障 发 生 时 ， 链 路 立刻 进行 切换 ， 数 据 包 仅 丢 了 一 个 ， 并 且 只 
要 物理 链 路 有 一 条 是 正常 的 ，Eth-Trunk 接口 就 不 会 断 开 ， 仍 然 可 以 保证 数据 的 转发 。 可 
见 ，Eth-Trunk 在 提高 了 带宽 的 情况 下 ， 也 实现 了 链 路 元 余 。 模 拟 完成 后 将 S2 接口 恢复 。 

4. 配置 Eth-Trunk 实现 链 路 聚合 (静态 LACP 模式 ) 

在 上 一 节 中 ， 假 设 两 条 链 路 中 的 一 条 出 现 了 故障 ， 只 有 一 条 链 路 正常 工作 的 情况 下 
无 法 保证 带宽 。 现 网 络 管理 员 为 公司 再 部 署 一 条 链 路 作为 备份 链 路 ， 并 采用 静态 LACP 
模式 配置 Eth-Trunk 实现 两 条 链 路 同时 转发 ， 一 条 链 路 备份 ， 当 其 中 一 条 转发 链 路 出 现 
问题 时 ， 备 份 链 路 可 立即 进行 数据 转发 。 

开启 S1 与 S2 上 的 GE 0/0/5 接口 模拟 增加 了 一 条 新 链 路 。 


[S1]interface GigabitEthernet 0/0/5 
[S1-GigabitEthemet0/0/5]undo shutdown 


[S2]linterface GigabitEthernet 0/0/5 

[S2-GigabitEthernet0/0/Sljundo shutdown 

在 S1 和 S2 上 的 Eth-Trunk 1 接口 下 ， 将 工作 模式 改 为 静态 LACP 模式 。 
[Sijinterface Eth-Trunk 1 

[S1-Eth-Trunkljmode lacp-static 

Error: Error in changing trunk working mode. There is(are) port(s) in the trunk. 


TS2jinterface Eth-Trank 1 

[S2-Eth-Trunkl]mode lacp-static 

Error: Error in changing trunk working mode. There is(are) port(s) in the trunk. 

发 现 报错 ， 此 时 需要 将 先前 已 经 加 入 到 Eth-Trunk 接口 下 的 物理 接口 先 删 除 。 
[Sl]interface GigabitEthernet 0/0/1 

[S1-GigabitEthernet0/0/1jundo eth-trunk 1 

[S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 

[S1-GigabitEthemet0/0/2jundo eth-trunk 1 


[S2]interface GigabitEthernet 0/0/1 
[S$2-GigabitEthernet0/0/IJundo eth-tunk 1 
[S2-GigabitEthernetO/O/l]interface GigabitEthernet 0/0/2 
[S2-GigabitEthernetO/0/2]undo eth-trunk 1 


删除 完成 后 ， 再 在 S1 和 S2 上 的 Eth-Trunk 1 接口 下 ， 将 工作 模式 改 为 静态 LACP 


模式 , 并 将 S1 和 S2 的 GE 0/0/1、GE 0/0/2 和 GE 0/0/5 接口 分 别 加 入 到 Eth-Trunk 1 接口 。 
[S1]interface Eth-Trunk 1 
[S1-Eth-Trunkl]mode lacp-static 
[S1-Eth-Trankl linterface GigabitEthernet 0/0/1 
[S1-GigabitEthemet0/0/1]eth-trunk 1 
[S1-GigabitEthernetO/O/1]interface GigabitEthernet 0/0/2 
[S1-GigabitEthernet0/0/2]eth-trunk 1 
[S1-GigabitEthernet0/0/2Jinterface GigabitEthernet 0/0/5 
[S1-GigabitEthernetO/0/5]eth-trunk 1 


[S2]Jinterface Eth-Trunk 1 
[S2-Eth-Trunk1jmode lacp-static 
[S2-Eth-Trunkljinterface GigabitEthernet 0/0/1 
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[S2-GigabitEthernetO/O/1]eth-trunk 1 
[S2-GigabitEthemmet0/O/1]interface GigabitEthermet 0/0/2 
[S2-GigabitEthernet0/0/2]Jeth-trunk 1 
[$2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/5 
[S2-GigabitEthernet0/0/5]eth-trunk 1 

配置 完成 后 ， 查 看 S1 的 Eth-Trunk 1 接口 状态 。 
[S1]display eth-trunk 1 

Eth-Trunkl's state information is: 

Local: 

LAG ID: 1 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 
System Priority: 32768 System ID: 4clf-ce55-b90f 

Least Active-linknumber: 1 Max Active-linknumber: 8 


Operate status: up Number Of Up Port In Trunk: 3 

ActorPortName Status PortType PortPri PortNo PortKey PortState ~ Weight 
GigabitEthernet0/0/2 Selected 1GE 32768 3 401 10111100 1 
GigabitEthernet0/0/1 Selected 1GE 32768 2 401 10111100 1 
GigabitEthemet0/0/5 Selected 1GE 32768 6 401 10111100 1 
Partner: 

ActorPortName SysPri SystemID PortPTi PortNo PortKey PortState 
GigabitEthernet0/0/2 32768 4clf-ce71-68d4 5 32768 3 401 10111100 
GigabitEthernet0/0/1 32768 4clfcc71-68d4 32768 3 401 10111100 
GigabitEthernet0/0/5 32768 4clfcc71-68d4 32768 6 401 10111100 


可 以 观察 到 ，3 个 接口 默认 都 处 于 活动 状态 (Selected)。 

将 S1 的 系统 优先 级 从 默认 的 32768 改 为 100, 使 其 成 为 主动 端 ( 值 越 低 优先 级 越 高 )， 
并 按照 主动 端 设备 的 接口 来 选择 活动 接口 。 两 端 设备 选 出 主动 端 后 ， 两 端 都 会 以 主动 端 
的 接口 优先 级 来 选择 活动 接口 。 两 端 设 备 选 择 了 一 致 的 活动 接口 ， 活 动 链 路 组 便 可 以 建 
立 起 来 ， 设 置 这 些 活 动 链 路 以 负载 分 担 的 方式 转发 数据 。 

[Sl]lacp priority 100 

配置 完成 后 ， 查 看 S1 的 Eth-Trunk 1 接口 状态 。 

[S1]jdisplay eth-trunk 1 

Eth-Trunk!'s state information is: 

Local: 

LAG ID: 1 ~ WorkingMode: STATIC 

Preempt Delay: Disabled © Hash arithmetic: According to SIP-XOR-DIP 

System Priority: 100 System ID; 4c1f-ce55-b9Of 

Least Active-linknumber: 1 Max Active-linknumber: 8 


可 以 观察 到 ， 已 经 将 S1 的 LACP 系统 优先 级 改 为 100,， 而 S2 没 修改 ， 仍 为 默认 值 。 
在 S1 上 配置 活动 接口 上 限 阔 值 为 2。 

[Silinterface Eth-Trunk 1 

[S1-Eth-Trunkl lmax active-linknumber 2 

在 S1 上 配置 接口 的 优先 级 确定 活动 链 路 。 

[Sl]interface GigabitEthernet 0/0/I 

[S1-GigabitEthernetO/O/1]lacp priority 100 

[S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 

[$1-GigabitEthernet0/0/2]lacp priority 100 


配置 接口 的 活动 优先 级 将 默认 的 32768 改 为 100， 目 的 是 使 GE 0/0/1 和 GE 0/0/2 接 
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口 成 为 活动 状态 。 
配置 完成 后 ， 查 看 S1 的 Eth-Trunk 1 接口 状态 。 
[S1]display eth-trunk 1 
Eth-Trunkl's state information is: 
Local: 
LAG ID: 1 y WorkingMode: STATIC 
Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 
System Priority: 100 System ID: 4c1f-ce55-b90f 
Least Active-linknumber: ] Max Active-linknumber: 2 
Operate status: up Number Of Up Port In Trunk: 2 


PortPri PortNo PortKey PortState Weight 


0 ;et ee 401 10111100 ”1 
“100 | 401 10111100 1 





32768 6 401 10100000 1 


可 以 观察 到 ， 由 于 将 接口 的 阔 值 改 为 2( 默 认 活动 接口 最 大 阔 值 为 8), 该 Eth-Trunk 
接口 下 将 只 有 两 个 成 员 处 于 活动 状态 ， 并 且 具 有 负载 分 担 能 力 。 而 GE 0/0/5 接口 已 处 于 
不 活动 状态 〈Unselect)， 该 链 路 作为 备份 链 路 。 当 活动 链 路 出 现 故 障 时 ， 备 份 链 路 将 会 
替代 故障 链 路 ， 保 持 数据 传输 的 可 靠 性 。 

将 S1 的 GE 0/0/1 接口 关闭 ， 验 证 Eth-Trunk 链 路 聚合 信息 。 

[Sljinterface GigabitEthernet 0/0/1 

[S1-GigabitEthernet0/0/1]shutdown 


[S1-GigabitEthernet0/0/1]display eth-trunk 1 


Eth-Trunk]'s state information is: 

Local: 

LAG ID: 1 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 
System Priority: 100 System ID: 4clf-cc27-e139 

Least Active-linknumber: 1 Max Active-linknumber: 2 

Operate status: up Number Of Up Port In Trunk: 2 


PortType PortPri PortNo PortKey PortState Weight 





TREE 2 305 10100010 1 
1GE 100 3 305 10111100 1 
I 6 305 10111100 1 


可 以 观察 到 ，S1 的 GE 0/0/1 接口 已 经 处 于 不 活动 状态 ， 而 GE 0/0/5 接口 为 活动 
状态 。 如 果 将 S1 的 GE 0/0/1 接口 开启 后 ， 又 会 恢复 为 活动 状态 ，GE 0/0/5 则 为 不 活 
动 状态 。 

至 此 ， 完 成 了 整个 Eth-Trunk 的 部 署 。 


当 一 条 高 优先 级 的 接口 因 故 障 切 换 为 非 活动 状态 而 后 又 恢复 时 ， 只 有 使 能 抢占 功 
能 后 高 优先 级 的 接口 将 重新 成 为 活动 接口 。 上 默认 情况 下 抢占 功能 是 关闭 的 ， 需 要 在 
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eth-trunk 接口 下 手动 开启 并 根据 实际 情况 配置 相应 的 抢占 时 延 ( 默 认为 30s)。 
思考 
当 接 口 数 超出 最 大 负载 阀 值 时 ， 剩 余 接口 是 否 转发 流量 ? 








第 6 量 
六 仿 路 由 








6.1 静态 路 由 及 默认 路 由 基本 配置 
6.2 浮动 静态 路 由 及 负载 均衡 
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6.1 静态 路 由 及 默认 路 由 基本 配置 


原理 概述 


静态 路 由 是 指 用 户 或 网 络 管理 员 手工 配置 的 路 由 信息 。 当 网 络 的 拓扑 结构 或 链 路 状 
态 发 生 改变 时 ， 需 要 网 络 管理 人 员 手 工 修改 静态 路 由 信息 。 相 比 于 动态 路 由 协议 ， 静 态 
路 由 无 需 频 繁 地 交换 各 自 的 路 由 表 ， 配 置 简单 ， 比 较 适 合 小 型 、 简 单 的 网 络 环境 。 

静态 路 由 不 适合 大 型 和 复杂 的 网 络 环境 ， 因 为 当 网 络 拓扑 结构 和 链 路 状态 发 生变 化 
时 ， 网 络 管理 员 需 要 做 大 量 的 调整 ， 且 无 法 自动 感知 错误 发 生 ， 不 易 排 错 。 

默认 路 由 是 一 种 特殊 的 静态 路 由 , 当 路 由 表 中 与 数据 包 目 的 地 址 没有 匹配 的 表 项 时 ， 
数据 包 将 根据 默认 路 由 条 目 进行 转发 。 默认 路 由 在 某 些 时 候 非常 有 效 , 如 在 末梢 网 络 中 ， 
默认 路 由 可 以 大 大 简化 路 由 器 配置 ， 减 轻 网 络 管理 员 的 工作 负担 。 


实验 目的 


。 掌握 配置 静态 路 由 《指定 接口 ) 的 方法 

。 掌握 配置 静态 路 由 (指定 下 一 跳 IP 地 址 ) 的 方法 
。 掌握 测试 静态 路 由 连通 性 的 方法 

。 掌握 配置 默认 路 由 的 方法 

。 掌握 测试 默认 路 由 的 方法 

。 掌握 在 简单 网 络 中 部 署 静 态 路 由 时 的 故障 排除 方法 
。 掌握 简单 的 网 络 优 化 方法 








“在 华为 路 由 器 上 ， 当 使 用 MA 类 型 接口 (如 以 太 网 接口 ) 配置 基于 指定 接口 的 静 


态 路 由 时 ， 设 备 会 发 出 类 似 “Warning: A next hop is not configured for the static route, 
which may result in forwarding failure.” 的 警告 。 为 保证 路 由 的 正确 性 在 MA 网 络 环境 中 
配置 静态 路 由 时 应 明确 指明 下 一 跳 地 址 。 


实验 内 容 


在 由 3 台 路 由 器 所 组 成 的 简单 网 络 中 ，R1 与 R3 各 自 连接 着 一 台 主 机 ， 现 在 要 求 能 够 实 
现 主机 PC-1 与 PC-2 之 间 的 正常 通信 。 本 实验 将 通过 配置 基本 的 静态 路 由 和 默认 路 由 来 实现 。 


实验 拓扑 
静态 路 由 及 默认 路 由 基本 配置 的 拓扑 如 图 6-1 所 示 。 
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r1 I 


~» I 
Serial 0/0/0 Serial 0/0/0 
i … A 和 





Serial 0/0/1 Serial 0/0/1 
Ethernet 0/0/0 Ethernet 0/0/0 
Ethernet 0/0/1 Ethernet 0/0/1 
PC-1 PC-2 


图 6-1 静态 路 由 及 默认 路 由 基本 配置 拓扑 


实验 编 址 


实验 编 址 见 表 6-1。 

表 6-1 实验 编 址 
设备 
PC-1 




















Fr | 7 | 
192.168.10.10 192.168.10.1 
Ethernet 0/0/0 192.168.10.1 





R1 (AR2220) 


R2 (AR2220) 


Serial 0/0/1 10.0.23.3 255.255.255.0 
Ethernet 0/0/0 192.168.20.3 255.255.255.0 
Ethernet 0/0/1 192.168.20.20 255.255.255.0 


R3 (AR2220) 





192.168.20.3 


实验 步骤 


1]. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


<Ri>ping -c 1 192.168.10.10 
PING 192.168.10.10: 56 data bytes, press CTRL_C to break 
Reply from 192.168.10,10: bytes=56 Sequence=1 ttl=255 time=510 ms 
— 192.168.10.10 ping statistics -—- : 
1 packet(s) transmitted 一 一 一 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 510/510/510 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
各 直 连 链 路 间 的 IP 连通 性 测试 完成 后 ， 现 尝试 在 主机 PC-1 上 直接 ping 主机 PC-2。 
PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
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sess 


发 现 无 法 连通 ， 这 时 需要 思考 是 什么 问题 导致 了 它们 之 间 无 法 通信 。 
首先 假设 主机 PC-1 与 PC-2 之 间 如 果 能 够 正常 连通 , 那么 主机 A 将 发 送 数据 给 其 网 
关 设备 R1; R1 收 到 后 将 根据 数据 包 中 的 目的 地 址 查看 它 的 路 由 表 ， 找 到 相应 的 目的 网 
络 的 所 在 路 由 条 目 ， 并 根据 该 条 目 中 的 下 一 跳 和 出 接口 信息 将 该 数据 转发 给 下 一 台 路 由 
器 R2，R2 采取 同样 的 步骤 将 数据 转发 给 R3; 最 后 R3 也 采取 同样 的 步骤 将 数据 转发 给 
与 自己 直 连 的 主机 PC-2; 主机 PC-2 在 收 到 数据 后 ， 与 主机 PC-1 发 送 数据 到 PC-2 的 过 
程 一 样 ， 再 发 送 相应 的 回应 消息 给 PC-1。 
在 保证 基本 配置 没有 错误 的 情况 下 , 首先 查看 主机 PC-1 与 其 网 关 设 备 R1 间 能 否 正 
常 通信 ，。 
PC>ping 192.168.10.1 
Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.10.1: bytes=32 seq=1 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=31 ms 
From 192.168.10.1: bytes=32 seq=5 ttl=255 time<] ms 
~- 192.168.10.1 ping statistics --- 
5 packet(s) transmitted 
$ packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/15/31 ms 
主机 与 网 关 之 间 通信 正常 ， 接 下 来 检查 网 关 设备 R1 上 的 路 由 表 。 
<R1>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D ”10.0.12.1 Serial0/0/0 
10.0.12.1/32 Direct 0 0 D12700l Serial0/0/0 
10.0.12.2/32 Direct 0 0 D 10.0.12,2 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 < 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 127.0.0.1 Ethernet0/0/0 


可 以 看 到 在 R1 的 路 由 表 上 ， 没有 任何 关于 主机 PC-2 所 在 网 段 的 信息 。 可 以 使 用 同 
样 的 方式 查看 R2 与 R3 的 路 由 表 。 


<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface a 
10.0.12.0/24 Direct 0 0 D 100.12.2 Serial0/0/1 
10.0.12.1/32 Direct 0 0 D 10.0.12.1 Serial0/0/1 
10.0.12.2/32 Direct 0 0 Dr T2001 Serial0/0/1 
10.0.23.0/24 Direct 0 0 D"..00232 Serial0/0/0 
10.0.23.2/32 Direct 0 0 D 127.0.0.I Serial0/0/0 
10.0.23.3/32 Direct 0 0 D 10.0.23.3 Serial0/0/0 
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127.0.0.0/8 Direct 0 0 BD OO] InLoopBack0 
127.0.0.1/32 Direct 0 0 DID InLoopBack0 
<R3>display ip routing-table 


Route Flags: R - relay, D - download to fib 


二 二 一 一 一 一 一 和 一 一 一 一 一 一 一 一 一 一 一 司 一 一 一 一 一 同一 一 一 一 


Routing Tables: Public 


_ Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.23.0/24. Direct 0 0 D100,233 Serial0/0/1 
10:0,23.2/32、 irect' ‘0.. 0 D0.23 放 Serial0/0/1 
10:0.23,3/32 "Direst 0 .0 D7 D001 Serial0/0/1 
1270.0.0/8 Dirpot, 人 0 DD! 127.0.0.1 InLoopBack0 
127;0.0.1/32 Direet 9 、0 D127.0.0.1 InLoopBack0 

192.168.20.0/24 Direct 0 Qu D 192.168.20.3 Ethernet0/0/0 

192.168.20.3/32 Direct 0 0 Di.00.. Ethernet0/0/0 


可 以 看 到 在 R2 上 没有 任何 关于 主机 PC-1 和 PC-2 所 在 网 段 的 信息 ，R3 上 没有 任何 
关于 主机 PC-1 所 在 网 段 的 信息 ， 验 证 了 初始 情况 下 各 路 由 器 的 路 由 表 上 仅 包括 了 与 自 
身 直接 相连 的 网 段 的 路 由 信息 。 

现在 主机 PC-1 与 PC-2 之 间 跨 越 了 若干 个 不 同 网 段 ， 要 实现 它们 之 间 的 通信 ， 只 通 
过 简单 的 了 P 地 址 等 基本 配置 是 无 法 实现 的 ， 必 须 在 3 台 路 由 器 上 添加 相应 的 路 由 信息 ， 
可 以 通过 配置 静态 路 由 来 实现 。 

配置 静态 路 由 有 两 种 方式 , 一 种 是 在 配置 中 采取 指定 下 一 跳 IP 地 址 的 方式 ， 另 一 种 
是 指定 出 接口 的 方式 。 

2. 实现 主机 PC-1 与 PC-2 之 间 的 通信 

在 R1 上 配置 目的 网 段 为 主机 PC-2 所 在 网 段 的 静态 路 由 ， 即 目的 IP 地 址 为 
192.168.20.0， 掩 码 为 255.255.255.0。 对 于 R1 而 言 ， 要 发 送 数据 到 主机 PC-2， 则 必须 先 
发 送 给 R2， 所 以 R2 即 为 R1 的 下 一 跳 路 由 器 ，R2 与 R1 所 在 的 直 连 链 路 上 的 物理 接口 
的 耳 地 址 即 为 下 一 跳 卫 地址 ， 即 10.0.12.2。 

[R1l]ip route-static 192.168.20.0 255.255.255.0 10.0.12.2 

配置 完成 后 ， 查 看 R1 上 的 路 由 表 。 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


' Routing Tables: Public 
Destinations :8 Routes:8- 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static 0 "0 RD (10.0,12:2 Serial0/0/0 
10.0.12.0/24 Direct 0 0 D 10.0,12.1 Serial0/0/0 
10.0.12.1/32 ” Direct 0 0 D 127.0.0.1 Serial0/0/0 
10.0.12.2/32 ” Direct 0 0 D 10;0.12.2 Serial0/0/0 
127.0.0.0/8 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
127,0.0.1732°"" Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 ”Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 ”Direct 0 0 D 7 Ethernet0/0/0 


配置 完成 后 ， 可 以 在 R1 的 路 由 表 上 查看 到 主机 PC-2 所 在 网 段 的 路 由 信息 。 
采取 同样 的 方式 在 R2 上 配置 目的 网 段 为 主机 PC-2 所 在 网 段 的 骨 凌 路 向， 


[R2]ip route-static 192.168.20.0 255.255.255.0 10.0.23.3 
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完成 后 ， 查 看 R2 上 的 路 由 表 。 





配置 完成 后 ， 可 以 在 R2 的 路 由 表 上 查看 到 主机 PC-2 所 在 网 段 的 路 由 信息 。 
和 PC-1 上 ping 于 PC-2。 





发 现 仍然 无 法 连通 。 在 主机 PC-1 的 E0/0/1 接口 上 进行 数据 抓 包 ， 可 以 观察 到 如 图 
6-2 所 示 的 现象 。 





图 6-2 抓 包 观 察 


此 时 主机 PC-1 仅 发 送 了 ICMP 请 求 消息 , 并 没有 收 到 任何 回应 消息 。 原因 在 于 现在 
仅仅 实现 了 PC-1 能 够 通过 路 由 将 数据 正常 转发 给 PC-2， 而 PC-2 仍然 无 法 发 送 数 据 给 
PC-1， 所 以 同样 需要 在 R2 和 R3 的 路 由 表 上 添加 PC-1 所 在 网 段 的 路 由 信息 。 

在 R3 上 配置 目的 网 段 为 PC-1 所 在 网 段 的 静态 路 由 , 即 目 的 人 P 地址 为 192.168.10.0， 
目的 地 址 的 掩 码 除 了 可 以 采用 点 分 十 进 制 的 格式 表示 外 ， 还 可 以 直接 使 用 掩 码 长 度 ， 即 
24 来 表示 。 对 于 R3 而 言 ， 要 发 送 数 据 到 PC-1， 则 必须 先 发 送 给 R2， 所 以 R3 与 R2 所 
在 直 连 链 路 上 的 物理 接口 S 0/0/1 即 为 数据 转发 接口 ,也 称 为 出 接口 ,在 配置 中 指定 该 接 
口 i 





本 IT PC- 所 刚直。 





”配置 完成 后 ， 查 看 R1、R2、R3 上 的 路 由 表 。 
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<R1>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10:0.12.0/24 Direct 0 0 时 OID Serial0/0/0 
10.0.12.1/32 Direct 0 0 12700,l Serial0/0/0 
10:0.12.2/32 Direct 0 0 D0012.2 Serial0/0/0 
127.0.0.0/8 . Direct 0 0 E2700 InLoopBack0 
127:0\0,1/32 Direct 0 0 BD L2700 InLoopBack0 
192.168.10.0/24 Direct 0 0 D192,168:10,. Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 DIROONL EthernetO/0/0 
192.168.20.0/24 Static 60 .0 RD 10.0.12.2 Serial0/0/0 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 EX 1 G0:12.2 Serial0/0/1 
16.0.12.M3& Direct 0 0 也 iD Serial0/0/1 
10:0,12.2/32, Direct 0 0 下 R700 Serial0/0/1 
10.0.23.0/24 Direct 0 0 有 :0.332 Serial0/0/0 
10.0.23.2/32 Direct 0 0 D127.0.0:1 Serial0/0/0 
10.0.23.3/32 Direct 0 0 D4 100,283.3 Serial0/0/0 
127.0.0.0/8 ，Direct 0 0 W200 InLoopBack0 
127.0.0.1/32 Direct 0 0 B70.0.1 InLoopBack0 
192.168.10.0/24 Static 60 0 Bon Serial0/0/1 
192.168.20.0/24 Static 60 0 RD 100233 Serial0/0/0 
<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.23.0/24 Direct 0 0 由 02 Serial0/0/1 
10.0.23.2/32 Direct 0 0 DB 100.23:2 Serial0/0/1 
10.0.23.3/32 Direct 0 0 D2700.1 Serial0/0/1 
127.0.0.0/8 Direct 0 Om 0.0. InLoopBack0 
127.0.0.1/32 Direct 0 0 了 EX InLoopBack0 
192.168.10.0/24 Static 60 0 DUO 
192.168.20.0/24 Direct 0 0 了 192.168.20.3 Ethernet0/0/0 
192.168.20.3/32 Direct 0 0 D127.0.0.1 Ethernet0/0/0 


可 以 看 到 ， 现 在 每 台 路 由 器 上 都 拥有 了 主机 PC-1 与 PC-2 所 在 网 段 的 路 由 信息 。 再 
在 主机 PC-1 上 ping 主机 PC-2。 

PC>ping 192.168.20.20 

Ping 192.168,20.20: 32 data bytes, Press Ctrl_C to break 

From 192.168.20.20: bytes=32 seq=1 ttl=125 time=78 ms 

From 192.168.20.20: bytes=32 seq=2 ttl=125 time=47 ms 

From 192.168.20.20: bytes=32 seq=3 ttl=125 time=47 ms 

From 192.168.20.20: bytes=32 seq=4 ttl=125 time=62 ms 
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From 192.168.20.20: bytes=32 seq=5 ttl=125 time=63 ms 
-一 192.168.20.20 ping statistics --- 

$5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 47/59/78 ms 
可 以 连通 ， 即 现在 已 经 实现 了 主机 PC-1 与 PC-2 之 间 的 正常 通信 。 
3 实现 全 网 全 通 来 增强 网 络 的 可 靠 性 
经 过 上 面 的 步骤 ， 主 机 PC-1 与 PC-2 之 间 已 经 能 够 正常 通信 。 假 设 此 时 网 络 突然 出 

现 故障 ， 主 机 PC-1 侧 的 网 络 管理 员 发 现 无 法 与 PC-2 正常 通信 ， 于 是 先 测试 与 网 关 设备 
RI1 间 的 连通 性 。 

PC>ping 192.168.10.1 
Ping 192.168.10.1: 32 data bytes, Press CtrlL_C to break 
From 192.168.10.1: bytes=32 seq=1 ttl=255 time<] ms 
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=5 ttl=255 time=16 ms 
--- 192.168.10.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 0/12/16 ms 
发 现 与 网 关 间 的 通信 正常 ， 再 测试 与 主机 PC-2 的 网 关 设 备 R3 间 的 连通 性 。 
PC>ping 10.0.23.3 
Ping 10.0.23.3: 32 data bytes, Press Ctrl_C to break 
Request timeout! 
Request timeout! 


发 现 无 法 与 R3 正常 通信 , 这 也 意味 着 此 时 网 络 管理 员 将 无 法 通过 主机 PC-1 登录 到 
R3 上 进一步 排除 故障 ， 由 此 可 见 ， 保证 全 网 的 连通 性 能 够 增强 整 网 的 可 靠 性 ， 提 高 网 络 
的 可 维护 性 及 健壮 性 。 

因此 有 必要 在 R1 的 路 由 表 中 添加 R2 与 R3 间 直 连 网 段 的 路 由 信息 , 同样 也 应 在 R3 
的 路 由 表 中 添加 RI1 与 R2 间 直 连 网 段 的 路 由 信息 ， 实 现 全 网 全 通 。 


[R1Jip route-static 10.0.23.0 24 10.0.12.2 


[R3]ip route-static 10.0.12.0 24 Serial 0/0/1 

配置 完成 后 ， 查 看 R1、R2、R3 的 路 由 表 ， 注 意 观 察 新 增 的 条 目 。 
<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D10.0:121 Serial0/0/0 
10:0,12.1/32. Direet 000 D127:0:0,1 Serial0/0/0 


10.0.12.2/32 Direct 0 0 D 10.0.12.2 Serial0/0/0 


信 


百 ， 
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10.0.23.0/24 Static 60 0 RDATLOO0I2.2 Serial0/0/0 
127.0.0,0/8" Direct 0 0 D2 0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D127.0.0,1 InLoopBack0 
192.168.10.0/24 Direct 0 0 了 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 ND oy Ethernet0/0/0 
192.168.20.0/24 Static 60 0 RD -100,122 Serial0/0/0 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations ; 10 Routes ; 10 
Destination/Mask Broto ,Pre ‘Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 DD W012.2 Serial0/0/1 
10.0.12.1/32 Direct 0 0 Di i002 Serial0/0/1 
10.0.12.2/32 Direct 0 0 Dl 127.00.1 Serial0/0/1 
10.0.23.0/24 Direct 0 0 PP Serial0/0/0 
10.0.23.2/42， Direct 10 0 Dr 2700. Serial0/0/0 
100.23.3/32 Direct, 0 0 Do 00233 Serial0/0/0 
127.0.0.08 Direet 0 0 D127.0:0.] InLoopBack0 
127.0.0.1/32 Direct 0 0 D197.0:0.1 InLoopBack0 
192.168.10.0/24 Static 60 0 D 10.0.1231 Serial0/0/1 
192.168.20.0/24 Static 60 0 RD 10.0.23.3 Serial0/0/0 
<R3>display ip routing-table 
Route Flags: R -relay, D - download to fib 
Routing Tables: Public 
Destinations : 9 Routes :9 
Destination/Mask Proto "| Pre :Cost Flags NextHop Interface 
10.0.12.0/24 Static 60 0 DD .10.0,.23:2 Serial0/0/1 
10.0.23.0/24 Direct 0 0 D10023.3 Serial0/0/1 
10.0,23.2/32 Direct 0 0 DO.0.2%2 7 Serial0/0/1 
10.0.23.3/32 Direct 0 0 DV 127001 Serial0/0/1 
127.0.0.0/8 Direct 0 0 Dalo Qu InLoopBack0 
1270,0,1/32 Direet 0 0 m2 0 InLoopBack0 
192.168.10.0/24 Static 60 0 OO Serial0/0/1 
192.168.20.0/24 Direct 0 0 D' 192.168.20.3 Ethernet0/0/0 
192.168.20.3/32 Direct 0 0 了 200.04 Ethernet0/0/0 


此 时 再 在 主机 PC-1 上 测试 与 R3 间 的 连通 性 。 
PC>ping 10.0.23.3 ; 
Ping 10.0.23.3: 32 data bytes, Press Ctrl _C to break 
From 10.0.23.3: bytes=32 seq=1l ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=2 ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=3 ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=4 ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=5 ttl=253 time=93 ms 
--- 10.0.23.3 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 47/$6/93 ms 


测试 成 功 , 主机 PC-1 可 以 顺利 与 R3 通信 , 同样 主机 PC-2 此 时 也 能 够 与 R1 进行 通 
测试 过 程 这 里 省 略 。 
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4. 使 用 默认 路 由 实现 简单 的 网 络 优化 

通过 适当 减少 设备 上 的 配置 工作 量 ， 能 够 帮助 网 络 管理 员 在 进行 故障 排除 时 更 轻松 
地 定位 故障 ， 且 相对 较 少 的 配置 量 也 能 减少 在 配置 时 出 错 的 可 能 ， 另 一 方面 ， 也 能 够 相 
对 减少 对 设备 本 身 硬 件 的 负担 。 

默认 路 由 是 一 种 特殊 的 静态 路 由 ， 使 用 默认 路 由 可 以 简化 路 由 器 上 的 配置 。 

查看 此 时 R1 上 的 路 由 表 。 


i 


此 时 R1 上 存在 两 条 先前 经 过 手动 配置 的 静态 路 由 条 目 ， 且 它们 的 下 一 跳 和 出 接口 
都 一 致 。 

现在 在 R1 上 配置 一 条 默认 路 由 ， 即 目的 网 段 和 掩 码 为 全 0， 表示 任何 网 络 ， 下 一 跳 
10.0.12.2， 并 删除 先前 配置 的 两 条 静态 路 由 。 


配置 完成 后 ， 查 看 R1 的 路 由 表 。 


再 测试 主机 PC-1 与 PC-2 间 的 通信 。 
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From 192.168.20.20: bytes=32 seq=5 ttl=125 time=47 ms 
--- 192.168.20.20 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/47/63 ms 
发 现 主机 PC-1 与 PC-2 间 的 通信 正常 ， 证 明 使 用 默认 路 由 不 但 能 够 实现 与 静态 路 由 
同样 的 效果 ， 而 且 还 能 够 减少 配置 量 。 在 R3 上 可 以 进行 同样 的 配置 。 
[R3]ip route-static 0.0.0.00 Serial 0/0/1 
[R3]undo ip route-static 10.0.12.0 255.255.255.0 Serial 0/0/1 
[R3jundo ip route-static 192.168.10.0 255.255.255.0 Serial 0/0/1 
再 次 测试 主机 PC-1 与 PC-2 间 的 通信 。 
PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seq=] ttl]=125 time=78 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=125 time=62 ms 
From 192.168.20.20: bytes=32 seq=3 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=125 time=78 ms 
From 192.168.20.20: bytes=32 seq=5 ttl=125 time=62 ms 
一 192.168.20.20 ping statistics -一 
S packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 47/65/78 ms 


主机 PC-1 与 PC-2 间 的 通信 正常 。 


各 央 在 配置 过 程 中 ， 顺 序 是 先 配 置 默 认 路 由 ， 再 删除 原 有 的 静态 路 由 配置 ， 这 样 的 操 
作 可 以 避免 网 络 出 现 通信 中 断 ， 即 要 在 配置 过 程 当中 注意 操作 的 规范 性 与 合理 性 。 


思考 


在 静态 路 由 配置 当中 , 可 以 采取 指定 下 一 跳 IP 地 址 的 方式 , 也 可 以 采取 指定 出 接口 
的 方式 ， 这 两 种 方式 存在 着 什么 区 别 ? 


6.2 浮动 静态 路 由 及 负载 均衡 


原理 概述 


浮动 静态 路 由 (Floating Static Route ) 是 一 种 特殊 的 静态 路 由 , 通过 配置 去 往 相同 的 
目的 网 段 ， 但 优先 级 不 同 的 静态 路 由 ， 以 保证 在 网 络 中 优先 级 较 高 的 路 由 ， 即 主 路 由 失 
效 的 情况 下 ， 提 供 备份 路 由 。 正 常情 况 下 ， 备 份 路 由 不 会 出 现在 路 由 表 中 。 

负载 均衡 〈Load sharing)， 当 数据 有 多 条 可 选 路 径 前 往 同 一 目的 网 络 ， 可 以 通过 配 
置 相同 优先 级 和 开销 的 静态 路 由 实现 负载 均衡 ， 使 得 数据 的 传输 均衡 地 分 配 到 多 条 路 径 
上 ， 从 而 实现 数据 分 流 、 减 轻 单条 路 径 负 载 过 重 的 效果 。 而 当 其 中 某 一 条 路 径 失 效 时 ， 
其 他 路 径 仍然 能 够 正常 传输 数据 ， 也 起 到 了 宛 余 作用 。 
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实验 目的 


。 理解 浮动 静态 路 由 的 应 用 场景 

。 掌握 配置 浮动 静态 路 由 的 方法 

。 掌握 测试 浮动 静态 路 由 的 方法 

。 掌握 配置 静态 路 由 负载 均衡 的 方法 

。 掌握 测试 静态 路 由 负载 均衡 的 方法 
实验 内 容 


R2 为 某 公 司 总 部 ，R1 与 R3 是 两 个 分 部 ， 主 机 PC-1 与 PC-2 所 在 的 网 段 分 别 模 拟 
两 个 分 部 中 的 办 公 网 络 。 现 需要 总 部 与 各 个 分 部 、 分 部 与 分 部 之 间 都 能 够 通信 ， 且 分 部 
之 间 在 通信 时 ， 之 间 的 直 连 链 路 为 主 用 链 路 ， 通 过 总 部 的 链 路 为 备用 链 路 。 本 实验 使 用 
浮动 静态 路 由 实现 需求 ， 并 再 根据 实际 需求 实现 负载 均衡 来 优化 网 络 。 


实验 拓扑 
浮动 静态 路 由 及 负载 均衡 的 拓扑 如 图 6-3 所 示 。 
从 司 意 部 


[El 


Serial Vo/0 R2 ~、、 Serial 1/0/1 
‘ AN 
To 、、 10023024 


Ea N 
Serial 1/0/04 Serial 1/0/0 
‘ N 





Serial 1/0/1 Serial 1/0/1 
R3 AGE 0/0/0 
Ethernet 0/0/1 
PC-1 PC-2 


图 6-3 浮动 静态 路 由 及 负载 均衡 拓扑 


实验 编 址 
实验 编 址 见 表 6-2。 
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表 6-2 实验 编 址 
到 ET 
PC-1 192.168.10.1 
a NA 


实验 步骤 


基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


<Rl>ping -c 1 10.0.12.2 
PING 10.1.12.2: 56 data bytes, press CTRL _C to break 
Reply from 10.0.12.2: bytes=56 Sequence=1l ttl=255 time=510 ms 
一 10.0.12.2 ping statistics 一 - 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 510/510/510 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 实现 两 分 部 间 、 总 部 与 两 分 部 间 的 通信 
在 R1 上 配置 目的 网 段 为 主机 PC-2 所 在 网 段 的 静态 路 由 ， 在 R3 上 配置 目的 网 段 为 
主机 PC-1 所 在 网 段 的 静态 路 由 , 在 R2 上 配置 目的 网 段 分 别 为 主机 PC-1 和 PC-2 所 在 网 


段 的 静态 路 由 。 


[Rl1]ip route-static 192.168.20.0 24 10.0.13.3 





[R2]ip route-static 192.168.20.0 24 10.0.23.3 
[R2]ip route-static 192.168.10.0 24 10.0.12.1 


[R3Jip route-static 192.168.10.0 24 10.0.13.1 

配置 完成 后 ， 在 R1 上 查看 路 由 表 。 
[R1jdisplay ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.13.0/24 Direct 0 0 D 10.0.13.1 Seriall/0/1 
10.0.13.1/32 Direct 0 0 了 12700.1 Seriall/0/1 
10.0.13.3/32 Direct 0 0 D 10.0.13.3 Seriall/0/1 
127.0.:0.0/8 Direct 0 -0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 ”Direct 0 0 yy R20,1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/0 
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“可 以 观察 到 ， 在 R1 的 路 由 表 中 存在 以 主机 PC-2 所 在 网 段 为 目的 网 段 的 路 由 条 目 ， 
且 下 一 跳 路 由 器 为 R3。 
测试 主机 PC-1 与 主机 PC-2 之 间 的 连通 性 。 


PC-1 上 使 用 tracert 命令 测试 所 经 过 的 网 关 。 


通过 观察 发 现 数据 包 是 经 过 R1 和 R3 到 达 主机 PC-2 的 。 
同样 在 主机 PC-2 和 R3 上 进行 查看 ， 首 先 在 R3 上 查看 路 由 表 。 


在 R3 的 路 由 表 中 存在 以 主机 pC-1 所 在 网 段 为 目的 网 段 的 路 由 条 目 ， 且 下 一 跳 路 由 
器 为 Rl1。 
在 主机 PC-2 上 测试 与 主机 PC-1 的 连通 性 。 二 
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可 以 观察 到 通信 正常 。 在 主机 PC-2 上 测试 访问 主机 PC-1 所 经 过 的 网 关 。 


可 以 验证 数据 包 是 经 过 R3 和 R1 到 达 主 机 PC-1 的 。 
在 总 部 路 由 器 R2 上 测试 与 分 部 的 连通 性 。 


通过 测试 ， 总 部 路 由 器 R2 能 够 正常 访问 两 个 分 部 主机 PC-1 和 主机 PC-2 的 网 络 。 

3. 配置 浮动 静态 路 由 实现 路 由 备份 | 

通过 上 一 步骤 的 配置 , 现在 网 络 搭建 已 经 初步 完成 。 现 需要 实现 当 两 分 部 间 通 信 时 ， 
直 连 链 路 为 主 用 链 路 ， 通 过 总 部 的 链 路 为 备用 链 路 ， 即 当主 用 链 路 发 生 故 障 时 ， 可 以 使 
用 备用 链 路 保障 两 分 部 网 络 间 的 通信 。 这 里 使 用 浮动 静态 路 由 实现 网 络 见 余 。 

在 R1 上 配置 静态 路 由 ， 目 的 网 段 为 主机 PC-2 所 在 网 段 ， 掩 码 为 24 位 ， 下 一 跳 为 
R2， 将 路 由 优先 级 设置 为 100 默认 是 60)。 
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”配置 完成 后 ， 查 看 路 由 器 R1 的 路 由 表 。 


发 现 路 由 表 此 时 没有 发 生 任何 变化 ， 使 用 alphay 让 routing table protocol static 命 
令 仅 查看 静态 路 由 的 路 由 信息 。 


可 以 观察 到 目的 地 址 为 PC-2 押 全 网 了 四 丙 生 仙人 100 和 60 的 静态 路 由 条 目 部 
已 经 存在 。 

现在 R1 上 去 往 相 同 的 目的 网 段 存在 有 两 条 不 同 路 由 条 目 ， 首先 会 比较 它们 的 优先 
级 ， 优 先 级 高 的 ， 即 对 应 的 优先 级 数值 较 小 的 路 由 条 目 将 被 选 为 主 用 路 由 。 通 过 比较 ， 
优先 级 数值 为 60 的 条 目 优先 级 更 高 ， 将 被 R1 使 用 ， 放 入 路 由 表 中 ， 状 态 为 Active; 而 
另 一 条 路 由 状态 则 为 Inactive， 作 为 备份 ， 不 会 被 放 入 路 由 表 。 只 有 当 Active 的 路 由 条 
目 失效 时 ， 优 先 级 为 100 的 路 由 条 目 才 会 被 放 入 路 由 表 。 A 

在 R3 上 做 和 RI1 辣 生 生生 生生 


接 下 来， ET rr 接口 关闭 ， 验证 使 用 备份 链 路 。 
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本 


被 标记 为 inactive 状态 并 从 当前 路 由 表 中 移 除 。 
配置 完成 后 , 查看 路 由 器 R1 的 路 由 表 , 并 使 用 display ip routing-table protocol static 
命令 查看 。 


可 以 观察 到 ， 此 时 优先 级 为 100 的 路 由 条 目 已 经 添加 到 路 由 表 中 。 


可 以 观察 到 ,现在 优先 级 为 100 的 条 目 为 Active 状态 ,优先 级 为 60 的 条 目 为 Inactive 
状态 。 
测试 主机 PC-1 与 PC-2 间 的 通信 。 ， 
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5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/49/63 ms 
通信 正常 ， 再 使 用 tracert 命令 查看 此 时 PC-1 与 PC-2 通信 时 所 经 过 的 网 关 。 
PC>tracert 192.168.20.20 
traceroute to 192.168.20.20, 8 hops max 
(ICMP), press Ctrl+C to stop 
ol6810l. <lms ,<lims, (3ms 
2 O0122. 32 m5 3 m9 TS 
3 10.0.23.3 62ms 47ms 47ms 
4 192.168.20.20 62ms 47ms 31ms 


再 次 验证 了 此 时 两 分 部 之 间 通 信 时 已 经 使 用 了 备用 链 路 。 






默认 情况 下 静态 路 由 只 能 感知 直 连 接口 的 状态 ， 可 通过 静态 路 由 与 NQA、BFD 


等 检测 特性 联动 的 方式 增强 静态 路 由 的 智能 度 。 

4. 通过 负载 均衡 实现 网 络 优化 

公司 网 络 管理 员 发 现 分 部 之 间 业 务 往 来 越 来 越 多 ， 网 络 流量 剧 增 ， 主 用 链 路 压 
力 非常 大 ， 而 总 部 与 两 分 部 间 的 网 络 流量 相对 较 少 ， 即 备用 链 路 上 的 带宽 多 处 在 闲 
置 状 态 。 此 时 可 以 通过 配置 实现 负载 均衡 ， 即 同时 利用 主 备 两 条 链 路 来 支撑 两 分 部 
间 的 通信 。 

恢复 R1 上 的 S LO 接口 ， 并 配置 目的 网 段 为 主机 PC-2 所 在 网 段 ， 掩 码 为 24 位 ， 
下 一 跳 为 R2， 优 先 级 不 变 。 

[R1linterface serial 1/0/1 

[R1-Seriall/0/1]jundo shutdown 

[R1-Seriall/0/1]ip route-static 192.168.20.0 24 10.0.12.2 

使 用 display ip routing-table 命令 查看 R1 上 的 路 由 表 。 

[Rl]ldisplay ip routing-table 

Route Flags: R - relay, D - download to fib 

Routing Tables: Public 

Destinations : 12 Routes ; 13 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 D10.0:12:1 Seriall/0/0 
100.12.132 Direct 0 127.0.0.1 Seriall/0/0 
10.0.12.2/32 Direct 0 10.0.12 2 Seriall/0/0 
10.0.13.0/24 Direct 0 10.0.13.1 Seriall/0/1 
10.0.13.1/32 Darect 0 127.0.0.1 Serial1/0/1 
10.013.332 Direct 10 10.0.13.3 Seriall/0/1 

10.0.23.0/24 Static 60 10:0,12.2 Seriall/0/0 

127.0.0,0/8 Direct 0 .127.0.0.1 InEoopBack0 

127:0:0.1/32 Direct 0 127.0.0.1 InLoopBack0 

192.168.10.0/24 Direct 0 192.168.10.1 GigabitEthernet0/0/0 
192.168.10.1/32 Direct 0 127.0.0.1 GigabitEthernet0/0/0 
192.168.20.0/24 Static 60 10.0.13.3 Seriall/0/1 
Static 60 RD 003422 Seriall/0/0 


SF OY OOS 
2 
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配置 完成 后 ， 可 以 观察 到 现在 去 往 192.168.20.0 网 段 拥有 两 条 下 一 跳 不 同 的 路 由 条 
即 实现 了 负载 均衡 。 

测试 主机 PC-1 与 PC-2 间 的 通信 。 
PC>ping 192.168.20.20 

Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seq=] ttl=126 time=31 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=126 time=31 ms 
From 192.168.20.20; bytes=32 seq=3 ttl=126 time=32 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=126 time=47 ms 
From 192.168.20.20: bytes=32 seq=5 ttl=126 time=31 ms 
--- 192.168.20,20 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/34/47 ms 
可 以 观察 到 ， 通 信 正 常 。 

在 R3 上 做 和 Rl 同样 的 对 称 配置 。 
[R3]ip route-static 192.168.10.0 24 10.0.23.2 

配置 完成 后 ， 和 有 g 够 在 R3 的 路 由 表 中 观察 到 与 R1 路 由 表 相 同 的 情况 。 

通过 配置 针对 相同 目的 地 址 但 优先 级 值 不 同 的 静态 路 由 ， 可 以 在 路 由 器 上 实现 路 径 
备份 的 功能 。 而 通过 配置 针对 相同 目的 地 址 且 优 先 级 值 相 同 的 静态 路 由 ， 不 仅 互 为 备份 
还 能 实现 负载 均衡 。 


I 





1 人” 当 路 由 器 路 由 表 中 存在 到 达 同 一 目的 地 的 多 条 等 价 路 径 时 ,路 由 器 在 转发 到 达 该 


目的 地 的 数据 包 时 会 根据 逐 包 、 逐 流 、 逐 目的 等 负载 均衡 算法 将 数据 包 分 布 在 相应 的 链 
路 上 发 送 。 


思考 


在 本 实验 的 步骤 3 和 步骤 4 中， 如 果 不 在 R3 上 做 和 RI1 同样 的 对 称 配置 , 会 产生 什 
么 样 的 现象 ? 为 什么 ? 

完成 负载 均衡 的 配置 之 后 , 可 以 在 R1 上 的 S 1/0/0 和 S 1/0/1 两 个 接口 上 启用 抓 包工 
有 具 ， 且 在 主机 PC-1 上 ping 主机 PC-2， 观 察 R1 的 两 个 接口 上 的 现象 ， 解 释 为 什么 会 产 
生 这 样 的 现象 。 
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7.1 RIP 路 由 协议 基本 配置 


原理 概述 


RIP (Routing Information Protocol， 路 由 协议 ) 作为 最 早 的 距离 矢量 了 P 路 由 协议 ， 
也 是 最 先 得 到 广泛 使 用 的 一 种 路 由 协议 ， 采 用 了 Bellman-Ford 算法 ， 其 最 大 的 特点 就 是 
配置 简单 。 

RIP 协议 要 求 网 络 中 每 一 台 路 由 器 都 要 维护 从 自身 到 每 一 个 目的 网 络 的 路 由 信息 。RIP 
协议 使 用 跳 数 来 衡量 网 络 间 的 “距离 ” 从 一 台 路 由 器 到 其 直 连 网 络 的 跳 数 定义 为 1， 从 一 
台 路 由 器 到 其 非 直 连 网 络 的 距离 定义 为 每 经 过 一 个 路 由 器 则 距离 加 1 距离” 也 称 为 “ 跳 数 ”。 
RIP 允许 路 由 的 最 大 跳 数 为 5， 因 此 ，16 即 为 不 可 达 。 可 见 RIP 协议 只 适用 于 小 型 网 络 。 

目前 RIP 有 两 个 版 本 ，RIPvl 和 RIPv2，RIPv2 针对 RIPvl 进行 扩充 ， 能 够 携带 更 
多 的 信息 量 ， 并 增强 了 安全 性 能 。RIPv1 和 RIPv2 都 是 基于 UDP 的 协议 ， 使 用 UDP520 
号 端口 收发 数据 包 。 


实验 内 容 


某 小 型 公司 组 网 拓扑 很 简单 ， 只 拥有 两 台 路 由 器 ， 因 此 可 以 采用 RIP 路 由 协议 来 完 
成 网 络 的 部 署 。 本 实验 通过 模拟 简单 的 企业 网 络 场景 来 描述 RIP 路 由 协议 的 基本 配置 ， 
并 介绍 一 些 基 本 的 查看 RIP 信息 的 命令 使 用 方法 。 
实验 目的 

。 理解 RIP 的 应 用 场景 

。 理解 RIP 的 基本 原理 

e 掌握 RIPv1 的 基本 配置 

。 掌握 RIPv2 的 基本 配置 

。 掌握 测试 RIP 路 由 网 络 的 连通 性 的 方法 

。 掌握 使 用 display 与 debug 命令 测试 RIP 

e 了 解 RIPvl 与 RIPV2 的 区 别 
实验 拓扑 

RIP 路 由 协议 基本 配置 的 拓扑 如 图 7-1 所 示 。 

Ey Ethernet 0/0/0 A 
Loopback 0: 10.0:1:1/24 本 ee 局 oopback 0: 100.2.2/24 


图 7-1 RIP 路 由 协议 基本 配置 拓扑 


实验 编 址 
实验 编 址 见 表 7-1。 
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实验 编 址 


E 0/0/0 10.0.12.1 255.255.255.0 
el. oe aa 10011 | 255255.255.0 | 
E 0/0/0 10.0.12.2 255.255.255.0 
R2 (AR1220) 
Loopback0 | 10022 | 255255.2550 | 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 配置 ， 并 使 用 ping 命令 检测 直 连 链 路 的 连通 性 。 


2. 使 用 RIPV1 搭建 网 络 

在 公司 两 台 路 由 器 R1 和 R2 上 配置 RIP v1。 使 用 rip 命令 创建 并 开启 协议 进程 ， 默 
认 情 况 下 进程 号 是 1。 使 用 network en 指定 网 段 接口 使 能 RIP 功能 ， 注 意 必须 是 自 
然 网 段 的 地 址 。 


配置 完成 后 ， 使 用 display ip routing-table 命令 查看 R1、R2 的 路 由 表 。 
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Destination/Mask Proto Pre Cost Flags “NextHop Interface 
10.0.1.0/24 RIP 100 1 D 10.0.12.1 Ethernet0/0/0 
10.0.2.0/24 Direct 0 0 D 10.0.2.2 LoopBack0 
10.0.2.2/32 Direct 0 0 D 127.0.0.1 LoopBack0 
10.0. 12.0/24 Direct 0 0 D 10.0.12.2 Ethernet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direut yg 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 两 台 路 由 器 已 经 通过 RIP 协议 学 习 到 了 对 方 环 回 接口 所 在 网 段 的 路 由 
条 目 。 

测试 R1 与 R2 环 回 接口 间 的 连通 性 。 

[Riljping 10;0.2.2 

PING 10.0.2.2: 56 data bytes, press CTRL_C to break 
Reply from 10.0.2.2: bytes=56 Sequence=l ttl=255 time=] ms 
Reply from 10.0,2.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.0.2.2: bytes=56 Sequence=3 节 =255 time=10 ms 
Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=255 time=10 ms 
~~ 10.0.2.2 ping statistics --- 
S packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 1/10/20 ms 

可 以 观察 到 通信 正常 。 

使 用 debuging 命令 查看 RIP 协议 定期 更 新 情况 ， 并 开启 RIP 调试 功能 。 请 注意 ， 
debug 命令 需要 在 用 户 视图 下 才能 使 用 。 使 用 terminal debugging 和 terminal monitor 
命令 开启 debug 信息 在 屏幕 上 显示 的 功能 ， 才 能 在 电脑 屏幕 上 看 到 路 由 器 之 间 RIP 协议 
交互 的 信息 。 

<R1l>debuggingrip 1 * 

<R1>terminal debugging 

Info: Current terminal debugging is on. 

<R1>terminal monitor 

Info: Current terminal monitor is on. 

<R1> 

Dec -72012 11:20:22.530. 1-08:00 Rl RIP/7/DBG: 6: 12176: RIP 1: Sending v1 response on Ethemet0/0/0 from 10.0.12.1 
with 1 RTE 

Dec 72012 11:20:22.530.2-08:00 Rl1 RIP/7/DBG: 6: 12227: RIP 1: Sending response 

on interface EthernetO0/0/0 from 10.0.12.1 to 255.255,255.255 、 

Dec 72012 11:20:22.530.3-08:00 R1 RIP/7/DBG: 6: 12247: Packet: Version 1, Cmd response, Length 24 

Dec 72012 11:20:22.530.4-08:00 R1 RIP/7/DBG: 6: 12296: Dest 10.0.1.0, Cost1 

Dec 72012 11:20:24.510.1-08:00 R1 RIP/7/DBG: 6: 12185: RIP 1: Receiving vl response on Ethermet0/0/0 from 10.0. 12.2 
with 1 RTE 

Dec 72012 11:20:24.510.2-08:00 R1 RIP/7/DBG: 6: 12236: RIP 1: Receive response 

from 10.0.12.2 on Ethernet0/0/0 
Dec 7 2012 11:20:24.510.3-08:00 R1 RIP/7/DBG: 6: 12247: Packet: Version 1, Cmd response, Length 24 
Dec 7 2012 11:20:24.510.4-08:00 R1 RIP/7/DBG: 6: 12296: Dest 10.0.2.0, Cost 1 


可 以 观察 到 R1 从 连接 R2 的 E 0/0/0 接口 周期 性 发 送 、 接 收 vl 的 ee 更 新 报 
文 ， 包括 目的 地 、 数 据 包 大 小 以 及 cost 值 。 

可 以 使 用 undo debuging rip 或 者 undo debug all 命令 关闭 debug 调试 功能 。 

<Rl>undo debugging rip 1 
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也 可 以 使 用 带 更 多 参数 的 命令 查看 某 类 型 的 调试 信息 , 如 debuging rip 1 event 查看 
路 由 器 发 出 和 收 到 的 定期 更 新 事件 。 其 他 参数 可 以 使 用 “? ”获取 帮助 。 


<R1>debugging rip 1 event 

Dec 7 2012 11:21:18.690.1-08:00 R1 RIP/7/DBG: 25: 4379: RIP 1: Periodic timer expired for interface Ethernet0/0/0 
(10.0.12.1) and its added to periodic update 

queue 一 

Dec 72012 11:21:18.690.2-08:00 R1 RIP/7/DBG: 25: 4707: RIP 1: Interface Ethern 

et0/0/0 (10.0.12.1) is deleted from the periodic update queue 

<R1>undo debugging all 

Info: All possible debugging has been turned off. 





二 开局 过 多 的 debug 功能 会 耗费 大 量 路 由 器 资源 ， 甚 至 可 能 导致 害 机 。 请 慎重 使 用 
开启 批量 debug 功能 的 命令 ， 如 debug all. 

3. 使 用 RIPV2 搭建 网 络 

基于 前 面 的 配置 ， 现 在 只 需 在 RIP 子 视图 模式 下 配置 v2 即 可 。 

[RI 

Do 


[R2]jrip 
[R2-rip-l]version 2 
配置 完成 后 使 用 display ip routing-table 命令 查看 各 路 由 器 路 由 表 。 
[R1]display ip routing-table 

Route Flags: R -relay D - download to fib 





Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 Direct 0 0 D 10.0.1.1 LoopBack0 
10.0.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack0 
10.0.2.0/24 RIP 100 1 ba nar Ethermet0/0/0 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 Ethernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direcr 0 0 D 127.0.0.1 InLoopBack0 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0,1.0/24 RIP 100 1 D 710.0.12,1 Ethernet0/0/0 
10.0.2.0/24 Direct 0 0 D 10.0.2.2 LoopBack0 
10.0.2.2/32 Direct 0 0 D 127.0.0.1 LoopBack0 
10.0,12.0/24 Direct 0 0 D 10.0.12.2 Ethernet0/0/0 
10.0.12.2/32 Direct 0 -0 D 127.0.0.1 Ethernet0/0/0 
127.0.0.0/8 Ee 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 两 路 由 已 经 通过 RIP 协议 学 习 到 了 对 方 环 回 接口 所 在 网 段 的 路 由 条 目 。 
配置 完成 后 ， 使 用 ping 命令 检测 R1 与 R2 之 间 直 连 链 路 的 I 了 P 连通 性 。 


[Rilping 10.0.2.2 
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PING 10.0.2.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.2.2: bytes=56 Sequence=] ttl=255 time=50 ms 
Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=255 time=40 ms 
Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.2.2: bytes=56 Sequence=5 tt}=255 time=10 ms 
--- 10.0.2.2 ping statistics --- 
5 packet(s) transmitted = 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max =,10/28/50 ms 
可 以 观察 到 通信 正常 。 
使 用 debuging 命令 查看 RIPv2 协议 定期 更 新 情况 。 
<Rl>debugging rip 1 "a 
Dec 72012 11:37:47.620.3-08:00 R1 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmd 
Dec 72012 11:37:47.620.4-08:00 RI RIP/7/DBG: 6: 12315: Dest 10:0.2.0/24, Nexth 
op 0.0.0.0, Cost 1, Tag 0 
Dec 7 2012 11:37:48.470.1-08:00 R1 RIP/7/DBG: 6: 12176: RIP 1: Sending v2 respo 
nse on Ethemet0/0/0 from 10.0.12.1 with 2 RTEs 
Dec 7 2012 11:37:48.470.2-08:00 R1 RIP/7/DBG: 6: 12227: RIP 1: Sending response 
‘on interface EthernetO0/0/0 from 10.0.12.1 to 224.0.0.9 
<R1l>undo debugging rip 1 
与 RIPv1 中 使 用 debuging 命令 所 查看 的 信息 进行 对 比 ， 可 以 明显 区 分 出 RIPv1 和 
RIPv2 的 不 同 ; 
国 RIPv2 的 路 由 信息 中 携带 了 了 子 网 掩 码 ; 
田 RIPv2 的 路 由 信息 中 携带 了 下 一 跳 地 址 ， 标 识 一 个 比 通告 路 由 器 的 地 址 更 好 的 下 
一 跳 地 址 。 换 句 话说 ， 它 指出 的 地 址 ， 其 度量 值 跳 数 ) 比 在 同一 个 子 网 上 的 通告 路 由 
器 更 靠近 目的 地 。 如 果 这 个 字段 设置 为 全 0 〈0.0.0.0)， 说 明 通 告 路 由 器 的 地 址 是 最 优 的 
下 一 跳 地 址 ; 


加 RIPv2 默认 采用 组 播 方式 发 送 报 文 ， 地 址 为 224:0.0.9。 


7.2 配置 RIPv2 的 认证 


原理 概述 


配置 协议 的 认证 可 以 降低 设备 接受 非法 路 由 选择 更 新 消息 的 可 能 性 ， 也 可 称 为 
“验证 ”。 非法 的 更 新 消息 可 能 来 自 试图 破坏 网 络 的 攻击 者 ， 或 试图 通过 欺骗 路 由 
器 发 送 数据 到 错误 的 目的 地 址 的 方法 来 捕获 数据 包 。RIPv2 协议 能 够 通过 更 新 消息 
所 包含 的 口令 来 验证 某 个 路 由 选择 消息 源 的 合法 性 ， 有 简单 和 MD5 密 文 两 种 验证 
方式 as 

简单 验证 是 指 在 认证 的 消息 当中 所 携带 的 认证 口令 是 以 明文 传输 的 ， 可 以 通过 抓 包 
软件 抓 取 到 数据 包 中 的 密码 。 

MD5 密 文 验证 是 一 种 单 向 消息 摘要 (message digest) 算法 或 安全 散 列 函数 〈secure 
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hash function)， 由 RSA Date Security,Inc 提出 。 有 时 MD5 也 被 作为 一 个 加 密 校 验 和 
(cryptographic checksum )。MDS5 算法 是 通过 一 个 随意 长 度 的 明文 消息 (例如 , 一 个 RIPv2 
的 更 新 消息 ) 和 口令 计算 出 一 个 128 位 的 hash 值 。hash 值 类 似 “ 指 纹 ” 这 个 “指纹 ” 
随同 消息 一 起 传送 , 拥有 相同 口令 的 接收 者 会 计算 它 自己 的 hash 值 ， 如 果 消 息 的 内 容 没 
有 被 更 改 ;- 接 收 者 的 hash 值 应 该 和 消息 发 送 者 的 hash 值 相 匹配 。 


实验 目的 


。 理解 配置 RIPv2 认证 的 场景 和 意义 

。 掌握 配置 RIPv2 简单 验证 的 方法 

。 掌握 测试 RIPv2 简单 验证 的 配置 结果 的 方法 

e 掌握 配置 RIPv2 MD5 密 文 验证 的 方法 

。 掌握 测 试 RIPv2 MD5 密 文 验证 配置 结果 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 某 公司 有 两 台 路 由 器 R1l 与 R2， 各 自 连接 着 一 台 主 机 ， 
并 且 R1 和 R2 之 间 配 置 RIPv2 协议 学 习 路 由 条 目 。R3 模拟 作为 网 络 中 的 攻击 者 ， 窃 取 
RI1 与 R2 间 的 路 由 信息 ， 并 发 布 了 一 些 虚假 路 由 , 使 R1 和 R2 的 相关 路 由 的 选 路 指向 了 
R3， 形 成 了 路 由 欺骗 。 为 了 避免 遭受 攻击 ， 提 高 网 络 安全 性 ， 网 络 管理 员 将 配置 RIPv2 
认证 。 
实验 拓扑 

配置 RIPv2 的 认证 拓扑 如 图 7-2 所 示 。 







Ethernet 0/0/3 


Ethernet 0/0/2 


Ethernet 0/0/1 





图 7-2 配置 RIPv2 的 认证 拓扑 
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实验 编 址 


实验 编 址 见 表 7-2。 
表 7-2 实验 编 址 







| GE | 100122 | 2552552550 
| GEooo | 100123 | 2552552550 | 
| Loopback1 | 192.168201 | 2552552550 | 


192.168.10.1 





RI1 
(AR2220) 





N/A 













192.168.20.1 









实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
其 中 ，R3 上 的 两 个 环 回 接口 先 不 配置 卫 地 址 。 











其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 RIP 网 络 
配置 公司 路 由 器 Rl 和 R2 的 RIPv2 协议 ， 并 添加 需要 通告 的 网 段 。 
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[R2-rip-1]network 192.168.20.0 
[R2-rip-1]network 10.0.0.0 


配置 完成 后 ， 检 查 RI1 与 R2 的 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 - Direct 0 0 D 10.0.12.1 GigabitEthernetO/O/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct- 0 0 D 192.168.10.1 GigabitEthemet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernetO/O/1 

[R2-rip-1]display ip routing-table 

Route Flags: R - relay, D - download to fib 

Routing Tables: Public 

Destinations : 8 Routes :8 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernetO/O/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0,1 InLoopBack0 
192.168.10.0/24 RIP 190 二 光志 10.0.12.1 GigabitEthernet0/0/1 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/0 

192.168.20.1/32 Direct 0 0 D 127.0.0.1 GigabitEthermet0/0/0 


可 以 观察 到 ， 此 时 双方 已 经 正常 地 获得 了 RIP 路 由 条 目 。 
3. 模拟 网 络 攻击 
配置 路 由 器 R3 作为 攻击 者 ， 接 入 公司 网 络 。 在 基本 配置 中 已 经 将 接口 GE 0/0/0 地 
址 配置 为 10.0.12.3， 与 该 公司 路 由 器 在 同一 网 段 ， 并 配置 RIPv2 协议 ， 通 告 该 网 段 ， 配 
完成 后 查看 R3 的 路 由 表 。 


[R3]rip 1 
[R3-rip-l]version 2 
[R3-rip-1]network 10.0.0.0 


[R3-rip-1]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 5 Routes: 5 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 ‘GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 RH 1007 Win D 10.0.12.1 GigabitEthernet0/0/0 
“192.168.20.0/24 RIP 100= 1 D 10.0.12.2 GigabitEthernet0/0/0 


观察 发 现 R3 已 经 非法 获取 了 R1 和 R2 上 用 户 终 端 所 在 的 两 个 网 段 的 路 由 信息 。 此 
时 R3 就 可 以 向 两 个 网 段 发 送 大 量 的 ping 包 ， 导 致 网 络 链 路 拥塞 ， 形 成 攻击 。 
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下 面 是 R3 模拟 攻击 演示 ， 发 送 10 万 个 ping 包 给 PC-1， 导 致 攻 击发 生 。 可 以 按 


<Ctrl+C> 组 合 键 来 终止 该 操作 。 


[R3]ping -c 100000 192.168.10.10 
PING 192.168.20.1: 56 data bytes, press CTRL_C to break 
Reply from 192.168.10.10: bytes=56 Sequence=1 ttl=255 time=480 ms 
Reply from 192.168.10.10: bytes=56 Sequence=2 tt=255 time=170 ms 
Reply from 192.168.10.10: bytes=56 Sequence=3 ttl=255 time=130 ms 
Reply from 192.168.10.10: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 192.168.10.10; bytes=56 Sequence=5 ttl=255 time=70 ms 
Reply from 192.168.10.10: bytes=56 Sequence=6 ttl=255 time=60 ms 


完成 上 述 模拟 后 ， 在 R3 上 分 别 配置 两 个 用 于 欺骗 的 环 回 接口 ， 地 址 分 别 为 


192.168.10.1 和 192.168.20.1， 即 与 公司 网 络 中 两 个 用 户 的 地 址 相同 ， 并 且 在 RIP 协议 中 


通告 


这 两 个 欺骗 的 网 段 。 

[R3]interface loopback0 

[R3-LoopBack0jip address 192.168.10.1 255.255.255.0 
[R3-LoopBack0]interface loopback1 
[R3-LoopBackljip address 192.168.20.1 255.255.255.0 
[R3-LoopBackl]rip 1 

[R3-rip-l]version 2 

[R3-rip-l]network 192.168.10.0 

[R3-rip-l]network 192.168.20.0 


配置 完成 后 ， 查 看 R1 与 R2 的 路 由 表 。 


[R1]display ip routing-table 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet0/0/1 
DE 00 D 10.0.12.3 GigabitEthemet0/0/1 
[R2]display ip routing-table 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.10.0/24 RIP 100 D 10.0;12.1 ree 
RIP 100 oi 
可 以 观察 到 R3 发 过 来 的 路 由 更 新 。 因为 RR 和 R3 发 送 RIP 更 新 的 cost 都 是 1 跳 ， 








所 以 在 Rl 的 路 由 表 中 ,目的 为 192.168.20.0 网 段 形 成 了 两 条 等 价 负载 均衡 的 路 径 , 下 一 
跳 分 别 是 R2 和 R3。 这 样 会 导致 去 往 192.168.20.0 网 段 的 数据 包 有 部 分 转发 给 了 欺骗 路 
由 器 R3，R2 的 路 由 表 变 化 和 R1 同 理 。 


4. 配置 RIPv2 简单 验证 
为 了 提升 网 络 安全 性 ， 避免 发 生 上 述 攻 击 和 路 由 欺骗 ， 网 络 管理 员 可 在 Rl1 和 R2 上 


配置 RIP 的 简单 验证 实现 对 网 络 的 保护 。 


在 路 由 器 Rl1 和 R2 的 GE 0/0/1 接口 配置 认证 , 使 用 简单 验证 方式 , 密码 为 huawei。 


注意 ， 两 端的 密码 必须 保持 一 致 ， 否 则 会 导致 认证 失败 ， 从 而 使 得 RIP 协议 无 法 正常 
运行 。 


[RI1Jinterface GigabitEthernet 0/0/1 

[R1-GigabitEthemnet0/0/1 Jrip authentication-mode i huawei 
[R2Jinterface GigabitEthernetO/0/1 

[R2- GigabitEthernetO/0/1]rip authentication-mode simple huawei 
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配置 完成 后 ， 等 待 一 段 时 间 ， 再 次 查看 R1 的 路 由 表 。 
[Ri]display ip routing-table 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.132 Direct - 0 0 D 127.0.0.1 “InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthemet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/0 

RR i 10.0.122 GigabitEthernet0/0/1 

[R2ldisplay ip routing-table 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct t=O 0 D 10.0.12.2 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 ~ InLoopBack0 
127.0.0.1/32 Direct 04- .0 D 127.0.0.1 InLoopBack0 

192.168.10.0124 Rip ~ 10 1 D 10,0.:12.1 GigabitEthemet0/0/1 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/0 

192.168.20.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 


可 以 观察 到 现在 R1 与 R2 的 路 由 表 恢复 正常 , R3 发 送 的 欺骗 路 由 在 路 由 表 中 消失 。 
原因 是 R1 和 了 R2 配置 了 RIP 认证 , 就 要 求 在 RIP 更 新 报 文 中 包含 认证 密码 ,如果 密码 错 
误 或 者 不 存在 ， 将 认为 该 路 由 非法 并 丢弃 。 

在 路 由 器 RI 的 GE 0/0/1 接口 上 抓 包 ， 如 图 7-3 所 示 。 


1934.632000000 10.0.12.1 224,0.0.9 ”RIPv2 76Response 


Cea rt 一 -一 二 


FFrame 19: 76 bytes on Wire (608 Ye) 76 es ER (608 页 名 7 on interface 0 


和 了 Protocol 
ber toc 14，Src: 10.0.12.1 (10.0.12.1), Dst: 224.0.0.9 (224.0.0.9) 
a User pti Me Src Port: router (520), Dst Port: router (520) 
aRouting Information Protocol 
Command: Response (2) 
Version: RIPV2 (2) 
aAuthentication: Simple Password 
Authentication type: Simple Password (2) 





password; huawe] 
mIP Address: 192.168.10.0, Metric: 1 


图 7-3 抓 包 观 察 


可 以 观察 到 ， 此 时 R1 与 R2 间 发 送 的 RIP 报 交 中 舍 authentication 字段 ， 并 且 密 码 
是 明文 的 huawei。 

5.， 配置 RIPv2 MD5 密 文 验证 

在 上 一 步骤 中 ， 在 Rl1 和 R2 上 配置 了 简单 验证 方式 的 认证 后 ， 成 功 地 抵御 了 R3 的 
路 由 欺骗 和 攻击 ， 且 主机 PC-1 与 PC-2 可 以 正常 通信 。 但 是 通过 抓 包 能 够 发 现 ， 简 单 验 
证 方式 下 的 认证 安全 性 非常 差 ， 攻 击 者 虽然 无 法 直接 攻击 网 络 ， 但 是 可 以 通过 抓 取 RIP 
协议 数据 包 获 得 明文 密码 ， 因 此 建议 使 用 MD5 密 文 验证 方式 进行 RIPv2 的 认证 。 

在 Rl 和 R2 的 GE 0/0/1 接口 上 删除 上 一 步骤 中 的 简单 验证 配置 ， 选 择 使 用 MD5 密 
文 验证 方式 配置 。 配 置 时 可 以 选择 MD5 密 文 验证 方式 的 报 文 格式 ，usual 参数 表示 使 用 
通用 报 文 格式 ; nonstandard 参数 表示 使 用 非 标 准 报 文 格式 〈IETF 标准 )， 但 是 必须 保证 
两 端的 报 文 格式 一 致 ， 这 里 选用 通用 标准 格式 。 


[R1-GigabitEthernet0/0/1]jundo rip authentication-mode 
[RI1-GigabitEthermet0/0/1]rip authentication-mode md5 usual huawei 
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[R2-GigabitEthernet0/0/1]undo rip authentication-mode 
[R2-GigabitEthernet0/0/1 1]rip authentication-mode md5 usual huawei 
配置 完成 后 ， 查 看 R1 和 R2 路 由 表 。 

[Ri]jdisplay ip routing-table 













Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct /0 0 D 10.0.12.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthermet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 

192.168.20.0/24 RIP 1 10.0.12.2 

[R2Jdisplay ip routing-table 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct “0 0 D 10.0.12.2 GigabitEthernet0/0/1 
127.0.0.0/8 et OO D 127.0.0.1 。 InLoopBack0 
127.0.0.1/32 i 0 D 127.0.0.1 ee i 

192.168.10.0/24 “， ss et0/0 
192.168.20.0/24 ID 192.168.20.1 GigabitBthetei /ON 

192.168.20.1/32 Direct 0 D 127.0.0.1 GigabitEthernet0/0/0 


可 以 观察 到 R1 与 R2 的 路 由 表 正 常 ， R3 发 送 的 欺骗 路 由 在 路 由 表 中 消失 ， 与 配置 
简单 验证 的 效果 一 样 。 
继续 抓 取 R1 的 GE 0/0/1 接口 上 的 报 文 ， 如 图 7-4 所 示 。 


No. Time Source Destination Protocol Length info 
1224 2565.71810.1.12.1 224.0.0.9 RIPV2 116 Response 
a 
mFrame 1224: 116 bytes on wire (928 bits), 116 bytes Captured (928 bits) on interface 0 
下 EOE Protocol 
TN E 











国 Usen a RINGEOCO] Sre 和 router 520)， Dst OR RONEER C520) 
Ss Routing Information Protocol 
Command: Response (2) 
Version: RIPv2 (2) 
B Authentication: Keyed Message Digest 
Authentication type: Keyed Message Digest (3) 
Digest Offset: 64 


Key ID: 1 
Auth Data Len: 20 
Seq num: 13 
Zero Padding 
9 Authentication Data Trailer 
Authentication Data; db 62 54 d3 5f 3e 19 90 3b b2 4c aa 40 35 71 04 





国 IP Address: 10.1.12.0, Metric: 1 
®@IP Address: 192.168.10.0, Metric: 1 


图 7-4 抓 包 观 察 


抓 包 发 现 已 经 无 法 看 到 配置 的 认证 密码 ,而 看 到 的 是 一 个 128 位 的 hash 值 , 这 是 一 
种 单 向 的 散 列 值 ， 难 以 破解 ， 这 样 就 能 够 进一步 地 保证 网 络 的 安全 性 。 


思考 


在 本 实验 中 ，R1 和 R2 上 配置 了 认证 ，R3 没有 配置 认证 ， 根 据 分 析 ，R1 和 R2 不 
会 再 接收 R3 发 送 的 不 包含 认证 信息 的 RIP 更 新 ， 那 R3 是 否 会 接收 R1 和 R2 发 送 过 来 
的 带 有 认证 信息 的 RIP 更 新 呢 ? 为 什么 ? 
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7.3 ”RIP 路 由 协议 的 汇总 


原理 概述 


当 网 络 中 路 由 器 的 路 由 条 目 非 常 多 时 ， 可 以 通过 路 由 汇总 (又 称 路 由 汇聚 或 路 由 聚 
合 ) 来 减少 路 由 条 目 数 ， 加 快 路 由 收敛 时 间 和 增强 网 络 稳 定性 。 路 由 汇总 的 原理 是 ， 同 
一 个 自然 网 段 内 的 不 同 子 网 的 路 由 在 向 外 《其 他 网 段 ) 发 送 时 聚合 成 一 个 网 段 的 路 由 发 
送 。 由 于 汇总 后 路 由 器 将 不 会 感知 被 汇总 子 网 有 关 的 变化 ， 从 而 提高 了 网 络 稳定 性 ， 减 
少 了 不 必要 的 路 由 器 更 新 。 

RIPv1 是 有 类 别 路 由 协议 ， 它 的 协议 报 文 中 没有 携带 掩 码 信息 ， 只 能 识别 A、B、C 
类 这 样 的 自然 网 段 的 路 由 ， 因 此 RIPv1 无 法 支持 路 由 聚合 ， 也 不 支持 不 连续 子 网 ， 所 有 
路 由 会 被 自动 汇总 为 有 类 路 由 。 

RIPv2 是 一 种 无 分 类 路 由 协议 ， 报 文中 携带 掩 码 信息 ， 支 持 手 动 路 由 汇总 和 自动 路 
由 汇总 两 种 方式 。 

国 基于 RIP 进程 的 有 类 自动 汇总 : 比如 对 于 10.1.1.0/24 (metric=2)〉 和 10.1.2.0/24 
(metric=3) 这 两 条 路 由 ， 聚 合成 自然 网 段 路 由 10.0.0.0/8 (metric=2)。 自 动 汇总 是 按 类 聚 
合 的 ， 在 华为 设备 上 自动 汇总 是 默认 关闭 的 ， 可 手动 更 改 配置 使 自动 汇总 生效 ; 

回 基于 接口 的 手动 汇总 : 用 户 可 以 指定 聚合 路 由 。 比 如 ， 对 于 10.1.1.0/24 (metric=2) 
和 10.1.2.0/24 (metric=3 ) 这 两 条 路 由 , 可 以 在 此 接口 上 配置 聚合 路 由 10.1.0.0/16 (metric=2)。 


实验 目的 


。 理解 RIP 路 由 协议 汇总 的 应 用 场景 
。 理解 RIPvl 和 RIPv2 的 自动 汇总 
。 掌握 配置 和 测试 RIPv2 手动 汇总 的 方法 


实验 内 容 


在 由 3 台 路 由 器 所 组 成 的 简单 网 络 中 ，R3 连接 着 多 个 网 段 ， 通 过 Loopback 口 来 模 
拟 多 个 网 段 ， 通 过 实验 实现 RIPvl 自动 汇总 、RIPv2 自动 汇总 以 及 RIPv2 手工 汇总 。 


实验 拓扑 
RIP 路 由 协议 的 汇总 拓扑 如 图 7-5 所 示 。 


ay Serial 1/0/0 exe Serial 1/0/0 Ay 
~ ~ e- — 一- 的 全 
民 Serial 1/0/1 民 Serial 1/0/1 民 
RI1 R2 R3 





图 7-5 RIP 路 由 协议 的 汇总 拓扑 
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实验 编 址 


实验 编 址 见 表 7-3。 
表 73 实验 编 址 


列 

255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 















R1 (AR1220) 


R2 (AR1220) 





R3 (AR1220) N/A 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
<Rl>ping -c 1 192.168.12.2 
PING 192.168.12.2: 56 data bytes, press CTRL _C to break 
Reply from 192.168.12.2: bytes=56 Sequence=] tt}=255 time=30 ms 
-一 192.168.12.2 ping statistics -- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/30/30 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 RIPV1 协议 


在 路 由 器 R1、R2、R3 上 配置 RIPvl 协议 ， 通 告 相应 网 段 。 


[Rljrip 1 
[Rl-rip-l]network 192.168.12.0 


[R2]rip 1 
[R2-rip-l]network 192.168.12.0 
[R2-rip-l]network 192.168.23.0 


[R3Jrip 1 
[R3-rip-l]network 192.168.23.0 
[R3-rip-l]network 3.0.0.0 
配置 完成 后 ， 查 看 R1 与 R2 的 路 由 表 。 
<R1>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 7 Routes :7 
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Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.0.0.0/8 RIP 100000 六 D 192.168.12.2 SeriallMO/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 “Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.12.0/24 ”Direct 0 0 D 192.168.12.1 Seriall/0/0 
192.168:12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192,168.12.2/32 ， Direct 0 0 D 192.168.12.2 Seriall/0/0 
192.168.23.0/24 -RIP 190° 1 D 192.168.12.2 Seriall/0/0 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 9 Routes :9 
Destination/Mask Proto hre Cost Flags NextHop Interface 
SO ee OO D 192.168.23.3 Seriall/0/0 
127.0.0.0/8 Direct 0 0 得 127.0.0.1 InLoopBack0 
127.0.0.1/32 ” Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.12.0/24 “Direct 0 0 fh 192.168.12.2 Seriall/0/1 
192,168.12.1/32 Direct 0 0 D 192.168.12.1 Seriall/0/1 
192.168.12.2/32 “Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168.23.0/24 ~ Direct 0 0 D 192,168.23.2 Seriall/0/0 
192.168:23.2/32。 Direct : 0 对 127.0.0.1 Seriall/0/0 
192.168.23,3/32~ Direct D 192.168.23.3 Seriall/0/0 


可 以 观察 到 R3 发 送 过 来 的 汇总 路 由 条 日 3.0.0.0/8， 没 有 任何 明细 路 由 条 目 。 
在 R3 的 S1/0/1 接口 上 抓 包 ， 如 图 7-6 所 示 。 


No. Time Source Destination Protocol i TX rate RSSI Frequency/channel Info 2 
59 120.932000000 192.168.23.3 255.255.255.255 RIPV] ReSPonse 






和 0 76 i on wire (608 bits), 76 bytes | (608 bits) on interface 0 
a Point-to-Ppoint protoco] 
“Internet protocol Version 4, Src: 192.168.23.3 C192.168.2303), 0st: /255.255.255%255 (2555255255.2 
a User Datagram Protocol, Src port: router (520), Dst Port: router (520) 
og eet on Eee 0 66 | 
Command: Response (2 
Version: RIPVv1 (1) 
IP Address: 3.0.0.0, Metric: 1 
Address Family: IP (2) 
TP Address: 3.0.0.0 (3.0.0.0) 
Metric: 1 
IP Address: 192.168.23.0, Metric: 16 
Address Family: IP (2) 
IP Address: 192.168.23.0 (192.168.23.0) 
Metric: 16 





图 7-6 抓 包 观察 


可 以 观察 到 ，RIPv1 的 协议 报 文中 没有 携带 掩 码 信息 ， 只 有 相应 的 网 络 号 以 及 
Metric 值 , 即 RIPV1 只 发 布 汇 总 后 的 有 类 路 由 。RIPv1 默认 开启 自动 汇总 , 且 无 法 关闭 ， 
也 不 支持 手动 汇总 。 可 以 使 用 display default-parameter rip 命令 查看 RIP 默认 配置 
信息 。 

<R3>display default-parameter rip 


Protocol Level Default Configurations 
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RIPversion :1 


Preference :100 
Checkzero : Enabled 
Default-cost :0 


Auto Summary :Enabled 
Host-route : Enabled 


可 以 观察 到 默认 开启 了 自动 汇总 。 
3. 配置 RIPv2 自动 汇总 


在 路 由 器 R1、R2、R3 上 配置 version 2 命令 ， 运 行 RIPV2 协议 。 
[Rilrip 1 
[Ri-rip-1]version 2 


[R2]rip 1 
[R2-rip-l1]version 2 


[R3]rip 1 
[R3-rip-1]version 2 


配置 完成 后 ， 在 R3 的 S 1/0/1 接口 上 抓 包 ， 如 图 7-7 所 示 。 


Length TX rate RSSI Frequency/chennel info 


996 2121.474000000192.168.23.3 224.0.0.9 RIPV2 116 Response 








ma coment a em th | 


3 Frame 996: 116 bytes on wire (928 bits), 116 bytes captured (928 bits) on interface 0 
a Point-to-point Protocol 
» Internet Protocol Version 4, Src: 192.168.23.3 (192.168.23.3), Dst: 224.0.0.9 (224.0.0.9) 
5 User Datagram Protocol, Src Port: router (520), Dst Port: router (520) 
9 Routing Information Protoco]l 
Command: Response (2) 
Version: RIPVv2 (2) 
mIP Address: 3.3.0.0, Metric: 1 
eIP Address: 3.3.1.0, Metric: 1 
Address Family: IP (2) 
Route Tag: 0 
IP Address: 3.3.1.0 (3.3.1.0) 
BI NA) 








.0, Metric: 1 


a1IP Address: 3.3. 
3.3.3.0, Metric: 1 


5 1IP Address: 


Wh 


图 7-7 抓 包 观察 


可 以 观察 到 ，RIPv2 报 文中 携带 了 掩 码 信 息 。RIPv2 支持 自动 汇总 ， 默 认 是 开启 的 ， 
并 且 可 以 关闭 。 

查看 R1 与 R2 的 路 由 表 。 

IR1l]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes ; 10 = 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.3.0.0/24 RIP 100 二 这 > DO 2 pd Seriall/0/0 
33 北 029D -RIB on 3 D 192.168.12.2 Serial1/0/0 
3.3.2.0/24 RIP i100 2 D 192.168.12.2 Seriall/0/0 
3.3.3.0/24 RIP 100 2 D 192.168:12.2 Seriall/0/0 
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127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 


[R21]display ip routing-table 

Route Flags: R - relay, D - download to fib 

Routing Tables: Public 

_ Destinations : 12 Routes : 12 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.3.0.0/24 RIP oo st 192.168.23.3 Seriall/0/0 
3.3.1,0/24 "~ RIP ya 192.168.23.3 ”Seriall/0/0 
3 192.168.23.3 Seriall/0/0 

0 4380 人 RaOR 192.168.23.3 Seriall/0/0 

127.0.0:0/8 "Direct. 0 0 127.0.0.1 InLoopBack0 


DIUSH 


natn 


可 以 观察 到 ， 接 收 到 的 路 由 条 目 是 具体 的 明细 路 由 条 目 ， 而 没有 汇总 路 由 ， 即 此 时 
RIPv2 默认 自动 汇总 并 没有 生效 。 

这 是 因为 在 华为 设备 上 ， 以 太 网 接口 和 串口 都 默认 启用 了 水 平分 割 功能 。 为 了 防止 
环 路 和 不 连续 子 网 问题 的 产生 ， 在 启用 了 水 平分 割 或 毒性 逆转 的 接口 上 ，RIPv2 的 默认 
自动 汇总 就 会 失效 ， 所 以 从 R3 通告 过 来 的 都 是 具体 的 明细 路 由 条 目 。 

要 使 RIPV2 的 默认 自动 汇总 生效 ， 有 两 种 方法 。 

第 一 种 方法 ， 使 用 summary always 命令 。 配 置 该 命令 后 ， 不 论 水 平分 割 是 否 启用 ， 
RIPv2 的 自动 汇总 都 生效 。 

[R3]rip 

[R3-rip-l]version 2 

[R3-rip-l]Jsummary always 

第 二 种 方法 ， 关 闭 相 应 接口 下 的 水 平分 割 功能 。 

[R3]interface Serial 1/0/1 

3-Seriall/0/1]undo rip split-horizon 

使 用 以 上 的 任 一 种 方法 后 ， 查 看 R1 与 R2 的 路 由 表 。 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
30008 RI TO pa ee 0 hy ‘Serial1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.01 InLoopBack0 


<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
B00OWB Rp 100 1 D 192.168.23.3 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 


sn 


可 以 观察 到 ， 此 时 RIPv2 的 自动 汇总 生效 了 。 
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4. 配置 RIPv2 手动 汇总 

配置 手动 汇总 需 首先 删除 上 一 步骤 中 使 RIPv2 自动 汇总 功能 生效 的 配置 ， 这 里 省 略 
此 步骤 。 

在 R3 上 使 用 rip summary-address 命令 配置 手动 汇总 , 配合 需要 汇总 的 本 地 网 络 他 
地 址 为 3.3.0.0， 网 络 掩 码 为 255.255.252.0。 





配置 完成 后 ， 查 看 R1 与 R2 的 路 由 表 。 






”可 以 观察 到 ，R1 和 R2 上 已 经 接收 到 了 该 汇总 路 由 条 目 ， 且 没有 任何 明细 路 由 
条 目 。 
思考 


华为 设备 默认 开启 了 RIPv2 的 自动 汇总 ， 如 果 没 有 默认 开启 接口 下 的 水 平分 割 ， 即 
自动 汇总 生效 的 情况 下 ， 可 能 会 导致 出 现 环 路 以 及 不 连续 子 网 等 问题 。 请 设计 一 个 相关 
场景 ， 模 拟 在 RIPv2 开启 了 自动 汇总 且 关 闭 了 水 平分 割 的 情况 下 ， 导 致 路 由 环 路 或 不 连 
续 子 网 问题 的 出 现 。 
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7.4 配置 RIP 的 版 本 兼容 、 定 时 器 及 协议 优先 级 


原理 概述 


RIP 在 TPv4 中 有 vl 和 v2 两 个 版 本 。 在 配置 RIP 时 ， 如 果 不 指定 版 本 ， 接 口 默认 情 
况 下 能 接收 v1 和 v2 的 报 文 ， 但 只 能 发 送 vl 的 报 文 ; 在 指定 版 本 的 情况 下 ，RIPv1 只 能 
接收 和 发 送 v1 的 报 文 ，RIPv2 只 能 接收 和 发 送 v2 的 报 文 。 

RIP 的 定时 器 有 3 种 ， 更 新 计时 器 ， 默 认 每 30s 发 送 一 次 更 新 ; 超时 计时 器 ， 默 认 
时 间 180s， 如 果 在 超时 计时 器 内 没有 收 到 邻居 发 来 的 更 新 报 文 ， 则 把 该 路 由 的 度量 值 设 
置 为 16， 并 启动 垃圾 收集 定时 器 ; 垃圾 收集 定时 器 ， 默认 时 间 120s， 如 果 启 动 了 该 计时 
器 ， 那 么 120s 超时 以 后 ， 路 由 表 中 会 删除 该 路 由 表 项 。 

RIP 默认 协议 优先 级 为 100， 可 以 手动 修改 。 


实验 内 容 


本 实验 中 采用 简单 的 场景 介绍 RIP 各 版 本 间 的 区 别 及 如 何 实现 相互 间 的 兼容 、RIP 
的 3 种 定时 器 的 作用 及 修改 方法 、RIP 优先 级 的 作用 及 修改 方法 。 


实验 目的 


。 掌 握 配 置 RIP 版 本 的 方法 

。 理 解 RIPvV1 和 RIPv2 的 相互 兼容 性 
。 掌握 RIP 的 3 种 定时 器 的 配置 

。 掌 握 RIP 的 协议 优先 级 的 配置 


实验 拓扑 
配置 RIP 的 版 本 兼容 、 定 时 器 及 协议 优先 级 的 拓扑 如 图 7-8 所 示 。 


GE 0/0/0 








RI1 
GE 0/0/0 


GE 0/0/1 





Ethernet 0/0/1 Ethernet 0/0/1 


一 一- 一 一 -一 -一 一 


PC-1 PC-2 


图 7-8 配置 RIP 的 版 本 兼容 、 定 时 器 及 协议 优先 级 拓扑 


实验 编 址 
实验 编 址 见 表 7-4。 
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表 7-4 实验 编 址 


| GE0/0/0 | 0/0/0 10. 0. 12. 2 2533i 255. 255. 0 











R1 (AR2220) 










R2 (AR2220) 


192.168.10.1 
192.168.20.1 







实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
[Rllping -c 1 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.12.2: bytes=56 Sequence=! ttl=255 time=50 ms 
~- 10.0.12.2 ping statistics --~- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 RIP 协议 的 版 本 兼容 
按照 图 7-8 分 别 在 Rl1 和 R2 上 配置 RIP 协议 ， 通 告 相应 网 段 。 但 是 在 R1 上 ， 不 指 
定 RIP 的 版 本 ， 在 R2 上 指定 使 用 版 本 v2。 
[RI1]rip 
[Ri-rip-lInetwork 10.0.0.0 
[Ri-rip-l]network 192.168.10.0 


[R2]rip 

[R2-rip-1jnetwork 10.0.0.0 
2-rip-1jnetwork 192.168.20.0 
[R2-rip-1]version 2 


配置 完成 后 ， 使 用 display ip routing-table 命令 查看 R1 和 R2 的 路 由 表 。 


[R1l]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127,0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 se 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/1 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernetO/0/1 
192.168.20.0/24 RIP 100 1 D 100122 GigabitEthernet0/0/0 


[R21]display ip routing-table 
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Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direot, 350 D 10:0:19.2 GigabitEthernet0/0/0 
10:0.12:27327 Direet' Om 0 D 1270.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct ' 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct .0 0 D 127.0.0.1 InLoopBack0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthermet0/0/1 
192.168.20.1/32 Direct 二 -0 0 127.0.0.1 GigabitEthernet0/0/1 


可 以 观察 到 ， 在 R1l 的 路 由 表 中 存在 PC-2 所 在 网 段 的 路 由 条 目 ， 在 R2 的 路 由 表 中 
没有 发 现 PC-2 所 在 网 段 的 路 由 条 目 。 

在 Rl 的 GE 0/0/0 接口 上 抓 取 Rl 发 送 给 R2 和 从 R2 接收 到 的 RIP 报 文 ， 如 图 7-9 
所 示 。 





ff:ff) 


Internet protoco], sre: 0 Li i oy ss Be bp ee ps ee se td My oy 
EH User Datagram Protocol, src Port: router (520), Dst Port: router (520) 
日 Routing Information Protocol 
Command: Response (2) 
Version: RIPV1 {1) 
日 IP Address: 192.168.10.0, Metric: 1 
Address Family: IP (2) 
IP Address: 192,168.10.0 (192,168.10.0) 
Metric: 1 





图 7-9” 抓 包 观 察 


可 以 观察 到 R1 采用 版 本 1， 即 广播 方式 来 发 送 更 新 ， 而 R2 采用 版 本 2， 即 组 播 方 
式 发 送 更 新 。 验 证 了 R1 在 RIP 协议 进程 中 没有 明确 指定 版 本 配置 时 ， 默 认 是 可 以 处 理 
接收 版 本 1 和 版 本 2 的 报 文 ， 但 仅 发 送 版 本 1 的 报 文 ; 而 R2 因 在 RIP 协议 进程 中 明确 
配置 了 版 本 2， 仅 接收 和 发 送 版 本 2 的 报 文 。 

因此 ， 由 于 RI1 发 送 的 是 RIPvl 报 文 ， 而 R2 不 能 正确 处 理 接收 ， 所 以 R2 的 路 由 表 
中 没有 PC-1 所 在 网 段 的 路 由 条 目 。 而 R2 发 送 的 RIPv2 报 文 能 够 被 R1 处 理 接收 ， 所 以 
在 Rl 的 路 由 表 中 存在 PC-2 所 在 网 段 的 路 由 条 目 。 

现在 为 了 使 R2 也 能 接收 PC-1 所 在 网 段 的 路 由 条 目 ,在 Rl 上 设置 接口 的 RIP 版 本 ， 
使 R1 能够 以 广播 方式 发 送 RIPV2 报 文 。 


[R1linterface GigabitEthernet0/0/0 
[R1-GigabitEthernet0/0/0]rip version 2 broadcast 
配置 完成 后 ， 查 看 R2 的 路 由 表 。 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
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10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 

127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 

192.168.10.0/24 RIP 100 1 D 10.0.12.1 GigabitEthernet0/0/0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/1 
192.168.20.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 


发 现 路 由 表 中 已 经 存在 R1 发 送 过 来 的 路 由 条 目 。 同 样 也 可 以 使 用 rip version2 
multicast 命令 ， 即 使 R1 能 够 以 组 播 方式 发 送 RIPv2 报 文 ， 效 果 一 样 ， 这 里 不 再 验证 。 

在 配置 RIP 协议 时 建议 路 由 器 之 间 配 置 相同 RIP 版 本 ， 即 所 有 路 由 器 都 配置 RIPv1 
或 者 都 配置 RIP v2， 以 避免 可 能 由 于 错误 配置 而 导致 RIP 协议 无 法 正常 工作 。 

3. 配置 RIP 的 定时 器 

配置 完 RIP 版 本 兼容 后 ， 再 次 在 R1 的 GE 0/0/0 接口 上 通过 抓 包 分 析 R1 和 R2 更 新 
报 文 的 发 送 情况 ， 如 图 7-10 所 示 。 





图 7-10 抓 包 观察 


可 以 观察 到 R1 在 10s 时 发 送 了 一 次 更 新 ，R2 在 34s 时 发 送 了 一 次 更 新 ，R1 在 40s 
时 发 送 了 下 一 次 更 新 ，R2 在 65s 时 发 送 了 下 一 次 更 新 。 即 默认 情况 下 RIP 协议 会 每 隔 
30s 左右 发 送 一 次 路 由 更 新 。 

路 由 更 新 的 有 效 期 为 超时 定时 器 定义 的 时 间 180s。 即 当 在 180s 内 没有 收 到 新 的 路 
由 更 新 ， 则 宣布 该 路 由 不 可 达 ， 并 从 路 由 表 中 清除 掉 该 路 由 条 目 。 

为 了 验证 效果 ， 在 R1 的 GE 0/0/0 接口 上 配置 停止 发 送 RIP 路 由 更 新 。 

[RiJinterface GigabitEthernet0/0/0 

[R1-GigabitEthernet0/0/0]Jundo rip output 

配置 完成 后 ， 此 时 R1 的 GE 0/0/0 接口 上 已 经 无 法 发 送 任何 RIP 路 由 更 新 ， 此 时 立 
刻 查 看 R2 的 路 由 表 。 


[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes:7 
Destination/Mask Proto Pre Cost Elags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JnLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 RIP 100 1 D 10.0.12.1 GigabitEthernet0/0/0 
192.168.20.0/24 ee 0 0 D 192.168.20.1 GigabitEthernet0/0/1 
192.168.20.1/32 0 0 D 127.0.0.1 GigabitEthernet0/0/1 


可 以 观察 到 ， MRL RI1 接收 到 的 路 由 条 目 依然 存在 ， 原 因 是 RIP 超时 定时 器 没有 到 期 ， 
该 路 由 条 目 依然 被 保存 在 路 由 表 中 。 
使 用 display rip database 命令 检查 R2 的 RIP 发 布 数据 库 中 的 所 有 激活 路 由 。 
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[R2]display rip 1 database 

Advertisement State : [A] - Advertised 

田 -NotAdvertised/Withdraw 
10.0.0.0/8, cost 0, ClassfulSumm 
10.0.12.0124, cost 0, [A], Rip-interface 
192.168.10.0/24, cost 1, ClassfulSumm 

192.168.10.0/24, cost 1, [A], nexthop 10.0.12.1 
192.168.20.0/24, cost 0, ClassfulSumm 

192.168.20.0/24, cost 0, [A], Rip-interface 


路 由 条 目 也 没有 发 生变 化 ， 状 态 仍然 为 [A]， 即 仍 被 通告 。 在 等 待 超 时 计时 器 到 期 定 
义 的 180s 以 后 再 使 用 display ip routing-table 命令 检查 。 

[R2]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 

Destination/Mask Proto Pre Cost .Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct- “0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 1 NE | D 127.0.0.1 InLoopBack0 
192.168.20.0/24 Eirect 一 0 "0 D 192.168.20.1 GigabitEthernet0/0/1 
192.168.20.1/32 Diresttr “Qi 0 D 127.0.0.1 GigabitEthernet0/0/1 


可 以 观察 到 ，R2 的 路 由 表 中 已 经 无 法 看 到 R1 发 送 过 来 的 路 由 条 目 ， 原 因 是 超时 定 
时 器 已 经 到 期 ， 该 路 由 条 目 被 定义 为 失效 ， 已 经 从 路 由 表 中 清除 了 。 

同时 再 次 检查 R2 的 路 由 表 和 发 布 数据 库 。 

[R2]display rip 1 database 

Advertisement State : [A] -Advertised 

四 -NotAdvertised/Withdraw 


10.0.0.0/8, cost 0, ClassfulSumm 

10.0.12.0/24, cost 0, [A], Rip-interface 
192.168.10.0/24, cost 16, ClassfulSumm 
192.168.10.0/24, cost 16, [T], nexthop 10.0.12.1 
192.168.20.0/24, cost 0, ClassfulSumm 
192.168.20.0/24, cost 0, [A], Rip-interface 


发 现在 数据 库 中 可 以 看 到 该 路 由 条 目 , 但 是 该 路 由 条 目 已 经 被 标记 为 16 跳 , 即 不 可 
达 ， 并 且 状 态 标记 为 四 ， 该 路 由 将 不 能 被 通告 出 去 。 虽 和 然 该 条 目 己 失效 ， 但 是 仍然 存在 
于 发 布 数据 库 中 的 原因 是 RIP 垃圾 收集 定时 器 启动 ， 且 还 没有 到 期 ， 暂 时 不 能 从 数据 库 
中 清除 。 

如 果 在 默认 120s 内 仍然 没有 收 到 更 新 报 文 ， 垃 圾 收集 定时 器 超时 后 将 删除 该 表 项 。 
经 过 120s 后 再 查看 R2 上 的 发 布 数据 库 。 

[R2]display rip 1 database 


Advertisement State : [A] -Advertised 
加 =NotAdvertised/Withdraw 


10.0.0.0/8, cost 0, ClassfulSumm 
10.0.12.0/24, cost 0, [A], Rip-interface 
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192.168.20.0/24, cost 0, ClassfulSumm 
192.168.20.0/24, cost 0, [A], Rip-interface 


可 以 观察 到 ， 此 时 已 经 不 存在 任何 R1 发 送 过 来 的 路 由 条 目 。 

可 以 通过 timers rip 命令 改变 这 几 个 定时 器 的 默认 值 来 影响 RIP 的 收敛 速度 。 现 将 
R1 的 更 新 报 文 的 时 间 间 隅 修改 为 20s， 超 时 计时 器 的 超时 时 间 修 改 为 120s， 垃 圾 收集 计 
时 器 的 超时 时 间 修 改 为 60s。 

[Rllrip I 

[Rl1-rip-i]ltimers rip 20 120 60 

配置 完成 后 ， 查 看 RIP 的 协议 信息 。 

[Rll]display rip 

Public VPN-instance 


Checkzero Enabled 
Default-cost :0 
Summary : Enabled 


Host-route : Enabled 

Maximum number of balanced paths : 32 
Updatetime :20s Agetinie ; 120s 
Garbage-collect time : 60s 


可 以 观察 到 ，RIP 定时 器 的 值 在 更 改 后 立即 生效 。 

如 果 3 个 定时 器 值 设置 不 当 ， 会 引起 网 络 不 稳定 。 例 如 ， 如 果 更 新 时 间 大 于 失效 时 
间 ， 那 么 在 更 新 时 间 内 ， 可 能 在 接收 到 路 由 更 新 之 前 ， 本 地 的 路 由 条 目 已 经 失效 了 。 定 
时 器 值 的 调整 应 考虑 网 络 的 规模 和 性 能 ， 并 在 所 有 运行 的 RIP 路 由 器 上 进行 统一 配置 。 

4. 配置 RIP 协议 优先 级 

在 实际 网 络 中 ， 去 往 相 同 目的 网 段 的 路 由 信息 可 以 通过 不 同 的 路 由 协议 获取 ， 比 如 
同时 通过 静态 路 由 和 RIP 协议 获取 ， 此 时 就 会 先 比较 二 者 的 协议 优先 级 ， 通 过 具有 较 高 
优先 级 的 路 由 协议 所 获取 的 路 由 信息 将 被 优选 放 入 路 由 表 中 。 

查看 R1 的 路 由 表 。 


[Rll]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direot “性 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 二 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernetO0/0/1 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.20.0/24 RIP 100 1 D 10.0.12.2 


GigabitEtheret0/0/0 
可 以 观察 到 RIP 的 路 由 优先 级 默认 值 为 100。 可 以 使 用 preference 命令 将 R1 的 路 由 
优先 级 调整 为 90， 然 后 查看 R1 的 路 由 表 。 
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[Rllrip 
[R1-rip-1]preference 90 


[Rl-rip-l]display ip routing-table 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.12.0/24 ~ Direct 0 D 10.0.12.1 GigabitEthernet0/0/0 

10.0.12.1/32 ~ Direct a D 127.0.0.1 GigabitEthernet0/0/0 

127.0.0.0/8 Direct he D 127.0.0.1 InLoopBack0 

127.0.0.1/32 Direct . 0 0 D 127.0.0.1 InLoopBack0 

192.168.10.0/24 © Direct "i D 192.168.10.1 GigabitEthernet0/0/1 

192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 

192.168.20.0/24 RIP 90 1 D 10.0.12.2 GigabitEthernet0/0/0 

可 以 观察 到 此 时 已 经 完成 了 相应 修改 。 注 意 优先 级 的 数值 越 小 ， 代 表 优先 级 越 高 。 
思考 


在 此 实验 中 ， 如 果 在 R1 上 配置 一 条 去 往 192.168.20.0 网 段 的 静态 路 由 ， 再 把 RIP 
优先 级 修改 为 60, 那么 在 Rl 的 人 路 由 表 中 该 网 段 路 由 来 自 RIP 还 是 静态 路 由 ? 为 什么 ? 


7.5 配置 RIP 抑制 接口 及 单 播 更 新 


原理 概述 


RIP 支持 抑制 接口 的 配置 ， 即 配置 后 禁止 接口 发 送 更 新 报 文 ， 但 此 接口 所 在 网 段 的 
路 由 可 以 发 布 出 去 。 可 通过 两 种 方法 来 实现 ， 执 行 silent-interface 命令 或 在 接口 下 配置 
undo rip output 使 其 只 接收 报 文 ， 但 不 能 发 送 RIP 报 文 。silent-interface 的 优先 级 大 于 
在 接口 下 配置 的 undo rip output， 默 认 情 况 下 为 不 抑制 状态 。 还 可 以 在 接口 下 配置 undo 
rip input 命令 ， 禁 止 接口 接收 RIP 更 新 报 文 ， 这 也 是 预防 路 由 环 路 的 一 种 方式 。 

单 播 更 新 是 指 RIP 使 用 单 播发 送 RIP 报 文 。 在 默认 情况 下 ，RIP 每 隔 30s 以 广播 或 
组 播 方式 交换 整个 路 由 表 的 信息 ， 这 将 耗费 大 量 网 络 带 宽 ， 特 别 是 在 广域网 中 ， 可 能 
现 严重 性 能 问题 。 为 了 解决 因 RIP 的 广播 报 文 而 产生 的 网 络 性 能 问题 ， 可 以 使 用 单 播 更 
新 的 方式 来 交换 路 由 信息 。 当 使 用 silent-interface 命令 配置 抑制 接口 后 ， 再 指定 单 播 更 
新 的 目的 地 址 后 ， 单 播 更 新 有 效 ， 如 果 在 接口 下 使 用 undo rip output 命令 来 配置 抑制 接 
口 ， 即 使 再 指定 单 播 更 新 的 目的 地 址 也 是 无 法 发 送 更 新 的 路 由 条 目的 。 

RIPv1 和 RIPv2 对 于 抑制 接口 和 单 播 更 新 的 特性 支持 情况 相同 。 


实验 目的 


e 掌握 RIP 抑制 接口 的 配置 
e 理解 抑制 接口 的 原理 及 应 用 场景 
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。 掌握 RIP 中 单 播 更 新 的 配置 
。 理解 单 播 更 新 的 原理 及 应 用 场景 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。R1 为 该 公司 出 口 网 关 路 由 器 ， 连 接 运 营 商 网 络 ，R2 
为 公司 IT 部 门路 由 器 ,通过 交换 机 S1 与 网 关 相 连 ， 人 事 部 员工 直接 通过 交换 机 S1 接 
入 公司 网 络 ，R3 为 公司 财务 部 门路 由 器 ， 同 样 通过 S1 与 网 关 相 连 。 所 有 路 由 器 运行 
路 由 协议 RIP 实现 网 络 互通 。 由 于 交换 机 S1 直 连 了 大 量 PC 用 户 ， 如 果 R1 继续 以 广 
播 (RIPvl) 或 组 播 (RIPv2) 的 方式 发 送 更 新 的 路 由 给 R2 和 R3， 处 于 同一 广播 网 络 
中 的 S1 下 连接 的 PC 也 会 收 到 这 些 对 PC 来 说 无 用 的 更 新 ,造成 了 带宽 和 资源 的 浪费 。 
为 了 优化 网 络 ， 现 需 在 R1 的 GE 0/0/1 接口 配置 抑制 接口 来 抑制 广播 或 组 播 更 新 ， 为 
了 使 R2 和 R3 能 照常 接收 更 新 ， 还 需要 在 R1 上 配置 与 R2、R3 的 单 播 更 新 ; 同时 禁 
止 其 他 部 门 访 问 财务 部 门 ， 需 抑制 R3 的 E 1/0/1 接口 ， 不 发 布 任何 RIP 路 由 ( 单 播 更 
新 也 不 行 )， 仅 可 接收 其 他 路 由 信息 。 





实验 拓扑 
配置 RIP 抑制 接口 及 单 播 更 新 的 拓扑 如 图 7-11 所 示 。 
Ga 
Ethernet 0/0/1 
Ti R2 


一 一 一 一 | Ethernet 1/0/0 


Ethernet 1/0/1 


Ethernet 0/0/2 


Ethernet 0/0/1 GE 0/0/1 
| 
| 上 一 人 二 一 
大 事 部 站 Ethemet 0/0/1 上 GE 0/0/1 
sl ate 


RI 
PC-2 Ethernet 0/0/3 
公司 出 口 网 关 


Ethernet 1/0/1 


Ethernet 0/0/1 





革 劳 世 卫 一 -一 一 Ethernet 1/0/0 
图 7-11 配置 RIP 抑制 接口 及 单 播 更 新 拓扑 
实验 编 址 
实验 编 址 见 表 7-5。 


表 7-5 实验 编 址 
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R1 (AR2220) 


R2 (AR2220) 


R3 (AR2220) 









172.16.2.254 
172.16.1.254 
192.168.1.254 













实验 步骤 


基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 
[Rllping -c 1 172.16.1.1 
PING 172.16.1.1: 56 data bytes, press CTRL_C to break 
Reply from 172.16.1.1: bytes=56 Sequence=] ttl=128 time=50 ms 
—- 172.16.1.1 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 基础 的 RIP 网 络 
在 公司 各 台 路 由 器 上 都 运行 RIP 路 由 协议 ， 并 通告 相应 网 段 。 


[Rllrip 1 
[Rl-rip-l]network 172.16.0.0 


[R2]rip 1 
[R2-rip-1]jnetwork 172.16.0.0 


[R3]rip 1 
[R3-rip-1Jnetwork 172.16.0.0 
[R3-rip-lJnetwork 192.168.1.0 


配置 完成 后 ， 检 查 3 台 设 备 的 路 由 表 。 


[Rl]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes:6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 “Direct -=- 0 0 D 127.0.0.1 GigabitEthermet0/0/1 
172.16.2.0/24 RIP 100 1 D 172.16.1.100 GigabitEthernet0/0/1 
192.168.1.0/24 RIP 100 二 入 D 172.16.1.200 GigabitEthernetO/0/1 


[R2]display ip routing-table 
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Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.100 Ethernet1/0/1 
172.16.1.100/32 “Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 Ethernetl/0/0 
172.16.2.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
192.168.1.0/24 -RIP i000 BD 172.16.1.200 Ethernet1/0/1 


[R31]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes ;7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JnLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.200 Ethernet1/0/1 
172.16.1.200/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.0/24 RIP 100 1 D 172.16.1.100 Ethernet1/0/1 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 Ethernet1/0/0 
192.168.1.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
可 以 观察 到 此 时 每 台 路 由 器 上 都 已 经 拥有 了 所 有 网 段 的 路 由 信息 ， 连 通 性 检查 这 里 


省 略 。 
接 下 来 网 络 管理 员 在 PC-2 的 E0/0/1 接口 上 抓 包 ， 如 图 7-12 所 示 ， 可 以 观察 到 接收 
了 许多 对 PC-2 来 说 无 用 的 RIP 路 由 更 新 。 


No. Time Source Destination Protocol tength Info 


图 7-12 抓 包 观 察 


在 PC-1 的 E0/0/1 接口 下 抓 包 ， 如 图 7-13 所 示 。 
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图 7-13” 抓 包 观 察 


同样 可 观察 到 PC-1 上 接收 到 许多 对 PC-1 而 言 无 用 的 RIP 更 新 ， 这 是 由 于 在 R2 上 
172.16.2.0 网 段 也 被 通告 进 了 RIP 协议 中 ， 即 R2 的 E 1/0/0 接口 运行 在 了 RIP 协议 中 ， 
也 会 发 送 RIP 路 由 信息 。 在 PC-3 上 抓 包 可 以 看 到 同样 的 效果 ， 原 理 和 PC-1 一 样 。 

3. 配置 RIP 抑制 接口 ， 优 化 公司 网 络 

为 了 减少 对 带宽 和 资源 的 浪费 ， 不 让 人 事 部 门 、IT 部 门 和 财务 部 门 的 PC 收 到 大 量 
无 关 RIP 报 文 ， 可 以 采用 抑制 接口 的 方法 来 实现 ， 使 得 该 接 日 只 接收 RIP 更 新 报 文 ， 而 
不 发 送 更 新 报 文 。 

在 各 路 由 器 上 使 用 silent-interface 命令 将 相应 接口 配置 成 为 抑制 接口 。 


[Rllrip 1 
[Ri-rip-1]silent-interface GigabitEthernet 0/0/1 


[R2]rip 1 
[R2-rip-l]silent-interface Ethernet 1/0/1 
[R2-rip-1]silent-interface Ethemet 1/0/0 


[R3jrip 1 
[R3-rip-1jsilent-interface Ethemet 1/0/1 
[R3-rip-]1]silent-interface Ethernet 1/0/0 
配置 完成 后 ， 分 别 在 R1、R2、R3 上 使 用 display rip 命令 查看 相关 配置 信息 。 
[R1-rip-l]display rip 1 
Public VPN-instance 
RIP process : 1 

BFD : Disabled 
Silent-interfaces : 
GigabitEthernet0/0/1 

Default-route : Disabled 


可 以 观察 到 ， 配 置 已 经 成 功 。 
配置 完成 后 ， 在 PC-2 的 E 0/O/1 接口 上 抓 包 ， 如 图 7-14 所 示 。 


48 了 959077800000HuaweTTE SU Da db Spanmng-tree- trosTp 1LIUNST- Root = 327087U7/ICT IT ec UDa db Cost SU por 
484 991.5260000HuaweiTe_50:ba:4b Spanning-tree-(fosTP 119MST. Root m 32768/0/4c:1if:cc:50:ba:4b Cost » 0 Por 
485 993.7260000HuaweiTe_50:ba:4b Spanning-tree-(foSTP 119MST. Root = 32768/0/4c:1f:cc: S50:ba:4b Cost = 0 pol 
486 995.8790000HuaweiTe_50:ba:4b Spanning-tree-(foSTP 1l19MST. Roor = 32768/0/4c:lf:cc:50:ba:4b Cost = 0 Por 
487 998.1100000HuaweiTe_50:ba:4b Spanning-tree-(forSTP 119MST. Root = 32768/0/4c:1f:cc:50:ba:4b Cost 0 Por 
488 1000.278000HuaweiTe_50:ba:4b Spannin0-tree-(fotSTP 119 MST- Root = 32768/0/4c:1f:cc:50:ba:4b Cost = 0 Por 
489 1002.493000HuaweiTe_50:ba:4b Spanming-tree-(foSTP 119MST. Root = 32768/0/4c:lf:cc:50:ba:4b Cost = 0 por| 
490 1004. 599000HuaweiTe_50:ba:4b Spanning-tree-(fotSTP 119MST. Root = 32768/0/4c:1f:cc: S50:ba:4b Cost = 0 Por 
491 1006.79900C0HuaweiTe_50:ba:4b Spanning-5ree-(forSTP il9MST. Root = 32768/0/4c:1if:cc:50:ba:4b Cost = 0 Porl 
492 1008.999000HuaweiTe_50:ba:4b Spanning-tree- (fosTP 119 mSsT. Root 32768/0/4c:1f:cec:50:ba:4b Cost = 0 Por 
493 1011.16700CHuaweiTe_50:ba:4b Spanning-cree-(forSTP 119 MST. Root = 32768/0/4c:1f:cc:50:ba:4b Cost = 0 por 
494 1013. 398000HuaweiTe_50:ba:4b Spanning-Kree-(forSTP 119 MST. Root = 32768/0/4c:lf:cc;50:ba:4b Cost = 0 Pos, 
495 1015, 566000HuaweiTe_50:ba:4b Spanning-tree-(foSTP 119MST. Root = 32768/0/4c:1if:cc:S50:ba:4b Cost » 0 Por 


图 7-14 抓 包 观 察 


可 以 观察 到 此 时 PC-2 已 接收 不 到 RIP 的 路 由 更 新 。 在 PC-1 和 PC-3 的 EE0/0/1 接口 
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下 抓 包 ， 效 果 也 一 样 。 

4. 配置 RIP 单 播 更 新 ， 恢 复 网 络 通信 

在 上 一 步骤 中 ， 网 络 管理 员 完 成 了 对 网 络 的 优化 ， 使 所 有 的 PC 都 不 再 接收 与 之 无 
关 的 路 由 更 新 。 而 这 时 各 部 门 员工 却 反 映 无 法 相互 间 访 问 ， 也 无 法 访问 外 网 。 

查看 R1 的 路 由 表 。 

[R1]display IP routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables; Public 


Destinations : 7 Routes :7 

Destination/Mask Proto Bre tost Flags NextHop Interface 

127.0.0.0/8 Direct 0 0 D 127,00.1 一 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 ， Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16:1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16,1.255/32 Direct 0 , D L970, GigabitEthernet0/0/1 
255,255.255.253/32 “Direct 0 D 127.0.0.1 InLoopBack0 


可 以 发 现 此 时 了 1 获取 不 到 其 他 网 络 的 RIP 路 由 信息 ，R2、R3 路 由 表 同 样 也 接收 不 
到 RIP 路 由 信息 。 原 因 是 在 网 络 管理 员 将 各 路 由 器 的 相应 接口 配置 成 抑制 接口 后 ， 接 口 
将 无 法 以 广播 或 组 播 的 方式 发 送 RIP 更 新 报 文 。 
现在 为 了 让 RIP 网 络 能 够 正常 通信 ， 可 以 通过 增加 RIP 的 单 播 更 新 配置 来 实现 。 通 
该 配置 ，RIP 更 新 报 文 会 以 单 播 形式 发 送 ， 而 不 采用 正常 的 组 播 或 广播 的 形式 。 
在 R1 上 使 用 peer 命令 ， 后 面 跟 上 指定 的 邻居 路 由 器 卫 地 址 ， 即 R2 和 R3 与 Rl 
相连 的 直 连 链 路 上 的 耳 地 址 。 
[Rilrip 1 
[R1-rip-1jpeer 172.16.1.100 
[Rl-rip-l]peer 172.16.1.200 
配置 完成 后 ， 使 用 display rip 命令 在 Rl1 上 检查 RIP 协议 的 信息 。 
[R1-rip-lldisplay rip 1 
Public VPN-instance 
RIP process : 1 
172.16.0.0 
Configured peers : 
172,16.1.200 172.16.1.100 
Number of routes in database : 4 


PET 


可 以 观察 到 邻居 全 地 址 已 经 配置 成 功 。 
同样 在 R2、R3 上 使 用 peer 命令 ， 配 置 单 播 更 新 。 


[R2]rip 1 
[R2-rip-1jpeer 172.16.1.254 
[R2-rip-l]peer 172,16.1.200 


[R3Jrip 1 
[R3-rip-1]peer 172.16.1.100 
[R3-rip-1]peer 172.16.1.254 


配置 完成 后 ， 再 次 查看 R1、R2、R3 上 的 路 由 表 。 
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[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Routing Tables: Public 


Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127:0.0:0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthemet0/0/1 
172.16.1.254/32” Direct 0 0 i 127.0.0.1 GigabitEthernet0/0/1 
Mal1620/M I RIP 1l00% 1 D 172.16.1.100 GigabitEthernet0/0/1 
192.168.1.0/24 RIP 00- 3 D 172.16.1.200 GigabitEthernet0/0/1 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0;1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.100 Ethernet1/0/1 
172.16.1.100/32 _ Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 Ethernet1/0/0 
172.16.2.254/32. Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
192.168.1.0/24 RIP i001 Dy 172.16.1.200 Ethernet1/0/1 
[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations ;7 Routes :7 
Destination/Mask Proto Pre | (COst Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 有 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127:0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.200 Ethernet1/0/1 
172.16.1.200/32 “Direct 0 0 D 127.0.0.1 Etheretl/O/1 
172.16.2.0/24 RIP OO D 172.16.1.100 Ethernet1/0/1 
192.168.1.0/24 ”Direct 0 D 192.168.1.254 Ethernet1/0/0 
192.168.1.254/32 Direct 0 及 127.0.0.1 Ethernet1/0/0 


可 以 观察 到 此 时 每 台 路 由 器 上 都 已 经 拥有 了 所 有 网 段 的 路 由 信 上 县， 连通 性 检查 这 里 
省 略 。 现 在 网 络 通信 恢复 正常 ， 并 且 所 有 PC 也 不 会 接收 到 任何 RIP 报 文 。 

5.， 验证 另 一 种 抑制 接口 方式 

RIP 协议 中 还 可 以 通过 使 用 undo rip output 命令 来 配置 抑制 接口 , 禁止 接口 发 送 RIP 报 文 。 

首先 将 R3 上 的 现 有 抑制 接口 和 单 播 更 新 的 配置 删除 ， 然 后 在 R3 上 的 了 1/0/1 接口 
上 配置 undo rip output 命令 ， 禁 止 接口 发 送 RIP 报 文 。 

[R3]np 1 

[R3-rip-ljundo silent-interface Ethernet 1/0/1 

[R3-rip-1jundo silent-interface Ethernet 1/0/0 

[R3-rip-llundo peer 172.16.1.100 

[R3-rip-l]undo peer 172.16.1.254 


[R3-rip-l]interface Ethernet1/0/1 
[R3-Ethernetl/0/1]undo rip output 
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配置 完成 后 ， 等 待 一 段 时 间 ， 查 看 R1、R2 路 由 器 的 路 由 表 。 


[Rl-rip-l]display ip routing-table 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 5 
Destination/Mask Proto 
127.0.0.0/8 Direct 
127.0.0.1/32 Direct 
172.16.1.0/24 Direct 
172.16.1.254/32 Direct 
172.16.2.0/24 RIP 
[R2]display ip routing-table 


Route Flags: R - relay, D - download to fib 


Interface 
InLoopBack0 
InLoopBack0 
GigabitEthernet0/0/1 
GigabitEthermet0/0/1 
GigabitEthernet0/0/1 


Routing Tables: Public 


Destinations : 6 
Destination/Mask Proto 
127.0.0.0/8 Direct 
127.0.0.1/32 Direct 
172.16.1.0/24 Direct 
172.16.1.100/32 Direct 
172.16.2.0/24 Direct 
172:16.2.254/32 Direct 


Routes : 3$ 
Pre Cost Flags NextHop 
0 0 D 127.0.0.1 
0 0 D 127.0.0.1 
0 0 D 172.16.1.254 
0 0 D 127.0.0.1 
100 1 D 172.16.1.100 
Routes ;6 
Pre Cost> ‘Plags NextHop 
0 0 DB 127.0.0.1 
0 0 D 127.0.0,1 
0 0 D 172.16.1.100 
0 0 D 127.0.0.1 
0 0 D 172.16.2.254 
0 0 D 127.0.0.1 


Interface 

InLoopBack0 
JInLoopBack0 
Ethernet1/0/1 
Ethernet1/0/1 
Ethernet1/0/0 
Ethemet1/0/0 


可 以 观察 到 并 没有 R3 上 192.168.1.0 所 在 直 连 网 段 的 路 由 条 目 ， 说 明 R3 上 的 undo 


rip output 命令 已 经 生效 ， 不 再 发 送 任何 RIP 路 由 更 新 。 


在 R3 上 配置 与 Rl 间 的 单 播 更 新 。 


[R3Jrip 1 
[R3-rip-l]peer 172.16.1.254 


配置 完成 后 ， 等 待 一 段 时 间 ， 路 由 表 收 敛 后 再 在 R1 上 查看 路 由 表 。 


[Rl-rip-l]display ip routing-table 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations ; 5 
Destination/Mask Proto 
127.0.0.0/8 Direct 


127.0.0.1/32 Direct 
172.16.1.0/24 Direct 
172.16.1.254/32 Direct 
172.16.2.0/24 RIP 


Routes :5 
Pre Cost Flags NextHop 
0 0 D 127.0.0.1 
0 0 D 127.0.0.1 
0 0 D 172.16.1.254 
0 0 D 127.0.0.1 
NO D 172.16.1.100 


Interface 
InLoopBack0 
InLoopBack0 
GigabitEthernet0/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/] 


可 以 观察 到 R1 上 仍然 没有 192.168.1.0 的 路 由 条 目 。 由 此 可 以 证 明 使 用 undo rip 
output 命令 来 抑制 接口 ,即使 配置 了 单 播 更 新 也 是 无 法 再 以 单 播 的 形式 发 送 路 由 更 新 的 。 
而 在 上 一 步骤 当中 ， 当 使 用 silent-interface 命令 配置 抑制 接口 后 ， 再 使 用 peer 命令 指定 
邻居 IP 的 单 播 更 新 目的 地 址 后 ， 单 播 更 新 则 生效 。 

在 接口 下 可 以 使 用 undo rip output 命令 禁止 该 接口 发 送 RIP 报 文 ,也 可 以 使 用 undo 
rip input 命令 来 禁止 接口 接收 RIP 报 文 , 通过 这 两 条 命令 可 以 灵活 地 控制 接口 对 RIP 报 
文 的 发 送 和 接收 (默认 情况 下 是 可 以 接收 和 发 送 RIP 报 文 )。 注意 silent-interface 命令 的 
优先 级 大 于 rip output 或 rip input 命令 的 优先 级 。 
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7.6 ”RIP 与 不 连续 子 网 


原理 概述 


RIP 会 在 主 网 边界 自动 汇总 ， 当 汇总 发 生 时 ， 汇 总 的 子 网 路 由 在 边界 处 被 抑制 掉 ， 
而 仅 通告 主 网 路 由 。 如 果 一 台 路 由 器 上 有 两 个 接口 ， 网 段 分 别 为 10.1.1.0/24 和 
172.16.1.0/24， 那 么 在 这 两 个 网 段 的 主 网 边界 路 由 器 就 会 自动 将 这 两 个 网 段 汇总 成 
10.0.0.0 和 172.16.0.0， 并 通告 给 其 他 路 由 器 。 如 果 主 网 的 子 网 不 连续 ， 被 其 他 主 网 所 分 
隔 ， 主 网 边界 的 自动 汇总 就 会 存在 问题 。 

连续 子 网 是 指 所 相连 的 子 网 属于 同一 主 网 ， 不 连续 子 网 是 指 相同 主 网 下 的 子 网 被 另 
一 主 网 分 隔 。 


实验 目的 


。 理解 连续 子 网 和 不 连续 子 网 的 概念 

。 掌握 RIPvl 中 解决 不 连续 子 网 问题 的 方法 
。 掌握 RIPv2 中 解决 不 连续 子 网 问题 的 方法 
* 理解 RIPvl 与 RIPv2 的 区 别 


实验 内 容 


在 某 公司 的 网 络 整 改 项 目 中 ， 原 先 Rl1 和 RS 属于 同一 主 网 络 10.0.0.0/8， 现 被 R2、 
R3、R4 分 离 ， 整 网 采用 了 RIPvV1 协议 ， 发 现在 该 子 网 不 连续 的 环境 下 通信 出 现 了 问题 ， 
现 需要 通过 额外 的 配置 来 解决 这 些 问 题 ， 以 保证 所 有 设备 能 够 互通 。 


实验 拓扑 
RIP 与 不 连续 子 网 的 拓扑 如 图 7-15 所 示 。 





Serial 2/0/0 Serial 1/0/1 
R2 量 = R4 
Serial 1/0/0 3 Serial 2/0/1 
Ethernet 1/0/0 Ethernet 1/0/0 
Ethemet 1/0/0 Ethernet 1/0/0 
R1 R5 


图 7-15 RIP 与 不 连续 子 网 拓扑 


实验 编 址 
实验 编 址 见 表 7-6。 
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表 7-6 实验 编 址 
设备 记 地 二 [了 RH 
R2 (AR1220) - 


Serial 2/0/0 192.168.23.2 255.255.255.0 

R3 CAR1220) Seriel 1/0/0 192.168.23.3 255:255.255.0 
Serial 1/0/1 192.168.34.3 255.255.255,0 
Serial 2/0/1 192.168.34.4 255.255.255.0 


Ethernet 1/0/0 10.0.45.4 255.255.255.0 
Ethernet 1/0/0 10.0.45.5 255.255.255.0 


R4 (AR1220) 


Ethernet 1/0/0 10.0.12.2 255.255.255.0 










R5 (AR1220) 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 配置 ， 并 使 用 ping 命令 测试 直 连 路 由 器 间 的 连 
通 性 。 

[R1]ping 10.0.12.2 

PING 10.0.12.2: 56 data bytes, press CTRL_C to break 
Reply from 10.0.12.2: bytes=56 Sequence=l ttl=255 time=60 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=20 ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl[=255 time=30 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.12.2:; bytes=56 Sequence=5 ttl=255 time=50 ms 

--- 10.0.12.2 ping statistics --- 

5 packet(s) transmitted 
5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 20/38/60 ms 

其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2， 组 建 基本 的 RIPV1 网 络 

在 路 由 器 R1、R2、R3、R4、R5 上 配置 RIPv1。 


[Rllrip 
[RI1-rip-l]network 10.0.0.0 


[R2jrip 
[R2-rip-1]network 10.0.0.0 
[R2-rip-lJnetwork 192.168.23.0 


[R3]rip 
[R3-rip-l]network 192.168.23.0 
[R3-rip-1]jnetwork 192.168.34.0 


[R4]rip 
[R4-rip-l network 192.168.34.0 2 
[R4-rip-1jnetwork 10.0.0.0 


[R5jrip 
[RS-rip-1]network 10.0.0.0 


配置 完成 后 ， 查 看 R1 的 路 由 表 。 


[Rl]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations ; 6 


Destination/Mask 
10.0.12:0/24 
10.0.12.1/32 
127.0.0.0/8 
127.0.0.1/32 
192.168.23.0/24. 
192.168.34.0/24 


Proto 


Direct 


Direct 
Direct 
Direct 


RIP 


在 Rl 的 路 由 表 中 ， 


Routing Tables: Public 


Destinations : 8 


Destination/Mask 
10.0.12.0/24 
10.0.12.2/32 
127:0.0.0/8 
127.0.0.1/32 
192.168.23.0/24 
192.168.23.2/32 
192.168.23.3/32 
192.168.34.0/24 


在 R2 的 路 由 


Proto 
Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
oa 


表 中 ， 


Routes :6 


Pre 
中 
0 


100 
100 


RIP 


NextHop 
10.0.12.1 
127.0.0.1 
127.0.0.1 
127.0.0.1 
10.0.12.2 
L0012,2 


Interface 

Ethemet1/0/0 
Ethernet1/0/0 
InLoopBack0 
InLoopBack0 
Ethemet1/0/0 
Ethernet1/0/0 
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存在 192.168.23.0/24 和 192.168.34.0/24 两 条 RIP 路 由 条 目 ， 但 
并 不 存在 R4 和 R5 之 间 的 10.0.45.0/24 路 由 条 目 。 
查看 R2 的 路 由 表 。 


[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routes :8 


100 


除 10.0.12.0/24 和 192.168.23.0/24 为 直 连 路 由 外 ， 


Flags 


DUHUOUUU 


NextHop 


OOD.2 


127.0.0.1 
127.0.0.1 
127.0.0.1 
192.168.23.2 
127.0.0.1 
192.168.23.3 
192.168.23.3 


Interface 
Ethemet1/0/0 
Ethernet1/0/0 
InLoopBack0 
InLoopBack0 
Serial2/0/0 
Serial2/0/0 
Serial2/0/0 
Serial2/0/0 


仅 有 


192.168.34.0/24 该 条 路 由 条 目 通过 RIP 接收 ， 却 没有 R4 和 R5 之 间 的 10.0.45.0/24 的 路 
由 条 目 。 
查看 R3 的 路 由 表 。 


[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


分 别 通 


Routing Tables: Public 


Destinations : 9 


Destination/Mask 
10.0.0.0/8 ~ 


127.0.0.0/8 
127.0.0.1/32 

192.168.23.0/24 
192.168.23.2/32 
192.168.23.3/32 
192.168.34.0/24 
192.168.34.3/32 
192.168.34.4/32 


Proto 
RIP 
RIP 
Direct 
Direct 


Di 


Direct 
Direct 
Direct 
Direct 
Direct 


Routes : 10 
Cost 


Pre 
“100 


9 


OOoSooSoSoooSoS 
SO OSooooorm = 


Flags 


DHS 


NextHop 
192.168.232 
192.168.34.4 
1270.0.1 
127.0.0.1 
192.168.23.3 
192.168.23.2 
127.0.0.1 
192.168.34.3 
127.0.0.1 
192.168.34.4 


Interface 
Seriall/0/0 
Seriall/0/1 
InLoopBack0 
InLoopBack0 
Seriall/0/0 
Seriall/0/0 
Seriall/0/0 
Seriall/0/1 
Seriall/0/1 
Seriall/0/1 


在 R3 的 路 由 表 中 , 除了 192.168.23.0/24 和 192.168.34.0/24 这 两 个 子 网 是 直 连 之 外 ， 


过 R2 和 R4 接收 到 了 两 条 相同 的 10.0.0.0/8 的 主 网 路 由 条 目 ， 而 并 非 现 网 拓扑 中 
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的 10.0.12.0/24 和 10.0.45.0/24 两 条 子 网 路 由 。 
导致 这 种 情况 的 原因 是 : 由 于 采用 了 RIPv1， 在 R2 和 R4 分 别 接收 到 10.0.12.0/24 
和 10.0.45.0/24 的 路 由 条 目 时 ， 默 认 打 开 了 自动 有 类 汇总 功能 ， 所 以 在 主 网 边界 向 外 发 
送 路 由 信息 的 时 候 都 汇总 成 了 10.0.0.0/8, 发 送 给 R3, 最 终 在 R3 上 由 于 接收 到 了 两 条 目 
的 网 段 相同 、 代 价值 也 相同 的 路 由 条 目 。 
那么 既然 此 时 在 R3 的 路 由 表 中 存在 有 10.0.0.0/8 的 路 由 ， 在 R3 上 测试 与 R1 和 R5 
的 连通 性 。 
[R3]ping 10.0.45.5 
PING 10.0.45.5: 56 data bytes, press CTRL_C to break 
Reply from 10.0.45.5: bytes=56 Sequence=1 ttl=254 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=2 ttl=254 time=40 ms 
Reply from 10.0.45.5: bytes=56 Sequence=3 ttl=254 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=4 ttl=254 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=5 tti=254 time=80 ms 
—- 10.0.45.5 ping statistics -一 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 40/72/80 ms 


[R3]ping 10.0.12.1 

PING 10.0.12.1: 56 data bytes, press CTRL C to break 
Request time out 
Request time out 
Request time out 
Request time out 
Request time out 

-一 10.0.12.1 ping statistics ~-- 
Spacket(s) transmitted 
0 packet(s) received 
100.00% packet loss 


发 现 此 时 呈现 出 有 一 端 无 法 通信 的 现象 。 在 R3 发 送 ICMP 报 文 的 时 候 ， 会 根据 路 
由 表 进 行 匹 配 ， 即 匹配 10.0.0.0/8， 那 么 最 终 报 文 流量 可 能 会 出 现 R3 将 本 该 要 发 送 给 R1 
的 ICMP 报 文 错误 地 转发 给 了 R4， 导 致 无 法 通信 。 

现在 每 台 设 备 上 的 路 由 表 中 没有 清晰 地 反馈 出 拓扑 中 的 真实 子 网 信息 ， 这 是 由 于 在 
RIPv1 默认 自动 汇总 开启 的 情况 下 ， 设 计 网 络 时 没有 遵循 主 网 的 子 网 应 该 连续 这 一 要 求 
所 致 ， 解 决 的 办 法 视 路 由 器 所 使 用 的 RIP 版 本 (v1 还 是 v2) 而 有 所 不 同 。 

3. RIPv1 中 解决 不 连续 子 网 问题 

路 由 器 上 所 运行 RIP 协议 的 默认 版 本 是 v1， 自 动 汇 总 无 法 关闭 ， 所 以 上 面 不 连续 子 
网 所 带 来 的 问题 ， 不 能 通过 关闭 自动 汇总 来 解决 。 但 如 果 把 不 连续 的 子 网 转变 成 连续 的 
子 网 ， 问 题 就 可 以 解决 ， 办 法 是 给 接口 配置 第 二 个 IP 地 址 ，IP 地 址 取 10.0.0.0/8 主 网 的 
子 网 。 

在 路 由 器 R2 上 的 S 2/0/0 接口 上 配置 从 IP 地 址 ， 只 要 在 常规 配置 耻 地 址 的 命令 之 
后 加 上 sub 参数 即 可 。 


[R2]interface serial 2/0/0 
[R2-Serial2/0/0]ip address 10.0.23.2 24 sib 
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同 理 ， 在 R3 和 R4 上 也 做 相应 配置 ， 并 在 R3 的 RIP 进程 中 添加 10.0.0.0 网 段 。 
[R3]interface serial 1/0/0 

[R3-Seriall/0/0]ip address 10.0.23.3 24 sub 

[R3-Seriall/0/0]interface serial 0/0/1 

[R3-Seriall/O/1]ip address 10.0.34.3 24 sub 

[R3-Seriall/0/IT]rip 

[R3-rip-1]network 10.0.0.0 


[R4]interface serial2/0/1 
[R4-Serial2/0/1]ip address 10.0.34.4 24 sub 


经 过 这 样 的 配置 之 后 ， 相 当 于 原先 在 整 网 拓扑 中 被 孤立 的 两 个 不 连续 子 网 
10.0.12.0/24 和 10.0.45.0/24 网 段 被 新 添加 的 子 网 10.0.23.0/24 和 10.0.34.0/24 网 段 连接 了 
起 来 ， 即 现在 已 经 构成 了 一 个 连续 的 子 网 。 

配置 完成 后 ， 观 察 每 台 路 由 器 的 路 由 表 。 

[Ri1ldisplay ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 10.0.12.2 Ethernet1/0/0 
10.0.12.0/24 ~ Direct 0 0 D 10.0.12.1 Ethernet1/0/0 
10.0.12:132 Direct 0 0 D 127.0.0.1 Ethemet1/0/0 
10.0.23.0/24 -RIP 100 1 D 10.0.12.2 Ethernet1/0/0 
10.0.34.0/24 -RIP 00 ID 10.0.12.2 Ethernet1/0/0 
10.0.45.0/24 RIP 100 3 D 10.0.12.2 : Ethernet1/0/0 
127.0.0.0/8 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 RIP 100 1 D 10.0.12.2 Ethernetl/0/0 
192.168,34.0/24 “RIP DZ D 10.0.12.2 Ethernet1/0/0 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 13 Routes : 15 
Destination/Mask Proto Pre "Gost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 10.0.23.3 Serial2/0/0 
RIP 100 1 D 192.168.23.3 Serial2/0/0 
10.0.12.:0/24 Direct 0 0 D 10.0.122 Ethernet1/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
10.0.23.0/24 Direct 0 0 D 10.0.23.2 Serial2/0/0 
10.0.23.2/32 Direct 0 0 D 127.0.0.1 Serial2/0/0 
10.0.34.0/24 -RIP 100 1 D 10.0.23,3 Serial2/0/0 
10.0.45.0/24 -RIP 100 2 D 10.0.23.3 Serial2/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.132 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
192:168.23.0/24 Direct 0 0 D 192.168.23.2 Serial2/0/0 
192.168.23.2/32 “Direct 0 0 D 127.0.0.1 Serial2/0/0 
192.168.23.3/32 ”Direct 0 0 D 192.168.23.3 Serial2/0/0 
192.168.34.0/24 RIP 100 1 D 192.168.23.3 Serial2/0/0 
RIP 100 1 D 10.0.23.3 Serial2/0/0 
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[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations ; 15 Ronutes : 16 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 192.168.23.2 Seriall/0/0 
RIP 100 1 D 192.168.34.4 Seriall/0/1 
10.0.12.0/24 RIP 100 1 D 10.0.23.2 Seriall/0/0 
10.0.23.0/24 Direct 0 0 D 10.0.23.3 Seriall/0/0 
10.0.23.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.0.34.0/24 Direct 0 0 D 10.0.34.3 Seriall/0/1 
10.0.34.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
10.0.45.0/24 RIP 100 1 D 10.0.34.4- Seriall/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Diteet 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 Direct 0 0 D 192.168.23.3 Seriall/0/0 
192.168.23.2/32 Direct 0 0 D 192.168.23.2 Seriall/0/0 
192.168.23.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.34.0/24 Direct 0 0 D 192.168.34.3 Seriall/0/1 
192.168.34.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168.34.4/32 Direct 0 0 D 192.168.34.4 Seriall/O/1 
[R4]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 13 Routes : 15 
Destination/Mask Proto Pre Cost Flags  ，NextHop Interface 
10.0.0.0/8 RIP 100 1 D 192.168.34.3 Serial2/0/1 
RIP 100 1 D 10.0.34.3 Serial2/0/1 
10.0.12.0/24 -RIP 100 2 D 10.0.34.3 Serial2/0/1 
10.0.23.0/24 RIP 100 1 D 10.0.34.3 Serial2/0/1 
10.0.34.0/24 Direct 0 0 D 10.0.34.4 Serial2/0/1 
10.0.34.4/32 Direct 0 0 D 127.0.0.1 Serial2/0/1 
10.0.45.0/24 Direct 0 0 D 10.0.45.4 Ethernet1/0/0 
10.0.45.4/32 Direct 0 0 D 127,0.0.1 Ethemet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JInLoopBack0 
192.168.23.0/24 RIP 100 1 D 192.168.34.3 Serial2/0/1 
RIP i00"3 1 D 10.0.34.3 Serial2/0/1 
192.168.34.0/24 Direct 0 0 D 192.168.34.4 “~ Serial2/0/1 
192.168.34.3/32 Direct 0 0 D 192.168.34.3 Serial2/0/1 
192.168.34.4/32 Direct 0 0 D 127.0.0.1 Serial2/0/1 
[RS]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 10 Routes : 10 
Destination/Mask Proto Pre -Cost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 10.0.45.4 Ethernet1/0/0 
10.0.12.0/24 RIP 100 3 D 10.0.45.4 Ethernet1/0/0 
10.0.23.0/24 RIP 100 2 D 10.0.45.4 ~ Ethernetl/0/0 
10.0.34.0/24 RIP 100 1 D 10.0.45.4 Ethernet1/0/0 
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10.0.45.0/24 Direct 0 0 D 10.0.45.5 Ethemet1/0/0 
10.0.45.5/32 Direct_ ‘0 0 D 127.0.0.1 Ethernet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JInLoopBack0 
192.168.23.0/24 RIP 100 2 i? 10.0.45.4 Ethernet1/0/0 
192.168.34.0/24 RIP 100 1 D 10.0.45.4 Ethernet1/0/0 


此 时 发 现在 每 台 路 由 器 的 路 由 表 中 都 拥有 了 所 有 的 子 网 信息 。 其 中 在 R2 上 ， 由 于 
R3 的 S-0/0/0 接口 配置 了 第 二 IP 地 址 , 所 以 下 一 跳 为 R3 的 S 0/0/0 接口 的 路 由 条 目 会 出 
现 两 个 下 一 跳 地 址 。 

在 R1 上 测试 与 R5 之 间 的 连通 性 。 

[RI1jping 10.0.45.5 

PING 10.0.45.5: 56 data bytes, press CTRL _C to break 
Reply from 10.0.45.5: bytes=56 Sequence=1 ttl=252 time=110 ms 
Reply from 10.0.45.5: bytes=56 Sequence=2 ttl=252 time=140 ms 
Reply from 10.0.45.5: bytes=56 Sequence=3 tt]=252 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=4 ttl=252 time=100 ms 
Reply from 10.0.45.5: bytes=56 Sequence=5 ttl=252 time=90 ms 
-一 10.0.45.5 ping statistics -一 
5 packet(s) transmitted 
$5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 80/104/140 ms 

连通 性 测试 成 功 。 

上 述 做 法 通过 在 不 连续 的 子 网 之 间 的 链 路 上 配置 相同 主 网 的 子 网 IP 地 址 , 即 采用 配 
置 从 IP 地 址 的 方式 来 实现 子 网 的 连续 性 , 解决 了 因为 自动 汇总 发 生 后 , 子 网 路 由 被 抑制 
掉 而 导致 的 子 网 不 可 达 。 此 种 做 法 优点 是 RIPvl 在 不 做 大 的 拓扑 结构 调整 的 前 提 下 ， 仅 
靠 配置 第 二 个 IP 地 址 就 解决 了 不 连续 子 网 问题 ， 不 足 之 处 是 需要 配置 第 二 个 IP 地 址 ， 
要 消耗 掉 多 个 子 网 网 段 。 

4. RIPv2 中 解决 不 连续 子 网 问题 

如 果 路 由 器 运行 的 是 RIPv2， 则 可 以 直接 关闭 自动 汇总 ， 子 网 是 否 连续 就 不 重要 了 ， 
因为 RIPv2 会 直接 通告 相应 的 子 网 路 由 。 

删除 上 一 步骤 中 的 从 耳 地 址 配置 命令 ， 并 在 所 有 路 由 器 中 将 RIP 的 版 本 配置 为 2， 
且 关 闭 自动 汇总 。 

[RI]rip 

[Ri-rip-l]version 2 

[Rl-rip-l]jundo summary 


[R2]interface serial 2/0/0 

[R2-Serial2/0/0]undo ip address 10.0.23.2 24 sub 
[R2-Serial2/0/0]rip 

[R2-rip-l1]version 2 

[R2-rip-iJundo summary 


[R3jinterface serial 1/0/0 

[R3-Seriall/0/0]undo ip address 10.0.23.3 24 sub 
[R3-Seriall/0/0]interface serial 1/0/1 
[R3-Seriall/0/1]undo ip address 10.0.34.3 24 sub 
[R3-Seriall/0/1]rip 

[R3-rip-1]version 2 
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配置 完成 后 ， 观 察 每 台 路 由 器 上 的 路 由 表 。 
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192.168.23.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.34.0/24 Direct 0 0 D 192.168.34.3 Seriall/0/1 
192.168.34.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168.34.4/32 Direct 0 0 D 192.168.34.4 Seriall/0/1 
[R4]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 9 Routes: 9 
Destination/Mask “Proto Pre "Cou Flags NextHop Interface 
10.0.12.0/24 RIP 100 2 D 192.168.34.3 Serial2/0/1 
10.0.45.0/24 Direct 0 0 D 10.0.45.4 Ethernet1/0/0 
10.0.45.4/32 Direct 0 0 D 127.0.0.1 Bthernetl/0/0 
127.0.0.0/8 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.132 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 RIP 100 1 D 192.168.34.3 Serial2/0/1 
192.168.34.0/24 Direct 0 0 D 192.168.34.4 Serial2/0/1 
192.168.34.3/32 Direct 0 0 D 192.168.34.3 Serial2/0/1 
192.168.34.4/32 Direct 0 0 D 127.0.0.1 Serial2/0/1 
[RS5]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 RIP 100 3 D 10.0.45.4 Ethernet1/0/0 
10.0.45.0/24 Direct 0 0 D 10.0.45.5 Ethernet1/0/0 
10.0.45.5/32 ”Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24，RIP OO D 。 10.0.45.4 Ethernet1/0/0 
192.168.34.0/24 RIP 100 1 D “10.0.45.4 Ethernet1/0/0 


可 以 看 到 在 所 有 路 由 表 中 都 没有 汇总 路 由 10.0.0.0/8， 并 且 10.0.45.0/24 和 
10.0.12.0/24 子 网 出 现在 所 有 的 路 由 表 中 。 
测试 R1、R5 间 的 连通 性 。 
[R1]jping 10.0.45.5 
PING 10.0.45.5; 56 data bytes, press CTRL_C to break 
Reply from 10.0.45:5: bytes=56 Sequence=I tl=252 time=90 ms 
Reply from 10.0.45.5: bytes=56 Sequence=2 ttl=252 time=130 ms 
Reply from 10.0.45.5: bytes=56 Sequence=3 ttl=252 time=90 ms 
Reply from 10.0.45.5: bytes=56 Sequence=4 ttl=252 time=110 ms 
Reply from 10.,0.45.5: bytes=56 Sequence=5 ttl=252 time=90 ms 
--- 10.0.45.5 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 90/102/130 ms 


在 RIPV2 的 环境 中 ， 因 为 默认 情况 下 自动 汇总 是 开局 的 ， 所 以 在 设计 网 络 时 ， 应 尽 
量 不 要 出 现 同 主 网 的 子 网 被 其 他 主 网 分 隔 的 情况 。 如 果 出 现 了 ， 关 闭 自 动 汇总 是 最 佳 的 
做 法 ， 不 足 之 处 是 路 由 表 中 路 由 条 目 会 增加 。 
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思考 


在 使 用 RIPV1 的 环境 中 ，R2、R3 和 R4 都 配置 了 第 二 个 人 P 地 址 ，10.0.0.0/8 的 子 网 
已 经 连续 ， 如 果 R2 是 主 网 边界 ， 为 什么 R3 还 能 看 到 10.0.12.0/24 的 子 网 ?如果 R2 不 
是 主 网 边界 ， 为 什么 在 R3 的 路 由 表 里 能 看 到 10.0.0.0/8 的 汇总 路 由 ? 


7.7_RIP 的 水 平分 割 及 触发 更 新 


原理 概述 


水 平分 割 (Split Horizon ) 指 的 是 RIP 从 某 个 接口 接收 到 的 路 由 信息 ， 不 会 从 该 接口 
再 发 回 给 邻居 设备 。 这 样 不 但 减少 了 带宽 消耗 ， 还 可 以 防止 路 由 环 路 。 在 华为 设备 上 ， 
水 平分 割 功能 默认 情况 下 是 开启 的 。 

触发 更 新 〈Triggered Updates) 的 原理 是 ， 当 路 由 信息 发 生变 化 时 ， 运行 RIP 的 设备 
会 立即 向 邻居 设备 发 送 更 新 报 文 ， 而 不 必 等 待定 时 更 新 ， 从 而 缩短 了 网 络 收敛 时 间 。 在 
华为 设备 上 ， 没 有 相关 命令 能 主动 关闭 触发 更 新 的 功能 。 

毒性 逆转 (Poison Reverse) 指 的 是 RIP 从 某 个 接口 接收 到 路 由 信息 后 ， 将 该 路 由 的 
开销 设置 为 16〈 即 该 路 由 不 可 达 )， 并 从 原 接口 发 回 邻居 设备 。 利 用 这 种 方式 ， 可 以 清 
除 对 方 路 由 表 中 的 无 用 路 由 。 如 果 同 时 都 配置 了 毒性 逆转 和 水 平分 割 ， 水 平分 制 行为 会 
被 毒性 逆转 行为 代替 。 在 华为 设备 上 ， 毒 性 逆转 功能 默认 情况 下 是 关闭 的 ， 需 要 手动 打 
开 此 功能 。 

毒性 逆转 可 以 快速 清除 无 用 的 路 由 而 不 必 等 待 老化 时 间 ， 另 外 ， 在 帧 中 继 和 X.25 
等 非 广 播 多 路 访问 网 络 中 ， 如 果 开 启 了 水 平分 割 功能 ， 会 造成 有 的 路 由 器 无 法 接收 到 更 
新 路 由 的 情况 ， 因 此 在 这 种 网 络 中 ， 水 平分 割 是 默认 禁止 的 ， 我 们 需要 手动 开启 毒性 逆 
转 防 止 路 由 环 路 。 

RIPv1 和 RIPv2 都 支持 水 平分 割 、 触 发 更 新 和 毒性 逆转 功能 。 


实验 目的 


。 掌握 RIP 触发 更 新 的 原理 

。 掌握 RIP 中 触发 更 新 与 等 待 老化 时 间 的 现象 差别 

。 掌握 RIP 水 平分 割 的 原理 和 配置 

。 掌握 开启 水 平分 割 与 关 掉 水 平分 割 时 路 由 条 目的 变化 
。 掌握 毒性 逆转 原理 和 配置 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。R1 为 该 公司 出 口 网 关 路 由 器 ， 连 接 运营 商 网 络 ，R2 为 
公司 IT 部 门路 由 器 ， 通 过 交换 机 S2 与 网 关 相 连 ， 同 时 公司 人 力 资 源 部 路 由 器 R3 也 通 
过 交换 机 S1 与 网 关 相 连 ， 所 有 路 由 器 运行 路 由 协议 RIPv2 实现 公司 整 网 互通 。 当 R3 与 
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S1 之 间 链 路 down 掉 时 R1 不 会 触发 更 新 ， 网 络 收 敛 较 慢 ; 而 当 RI1 与 S1 之 间 链 路 down 
掉 时 ，R1 会 触发 更 新 ， 网 络 收敛 快 。 华 为 路 由 器 默认 开启 RIP 水 平分 割 功能 ， 当 主动 关 
掉 路 由 器 上 水 平分 割 功能 时 ， 检 查 路 由 器 发 送 RIP 路 由 条 目的 变化 。 手 动 开 启 毒性 逆转 
功能 ， 检 查 路 由 器 发 送 RIP 路 由 条 目的 变化 。 


实验 拓扑 
RIP 的 水 平分 割 及 触发 更 新 的 拓扑 如 图 7-16 所 示 。 


Ethernet 0/0/1 GE 0/0/1 
Gl Ethernet 1/0/0 RR) GE 0/0/1 3 


PC-2 R3 sl 








GE 0/0/2 


GE 0/0/0 


GE 0/0/2 


GE 0/0/2 








Ethernet 0/0/1 GE 0/0/1 ss 
Ethernet 1/0/0 “于 GEOOI sy 





"" ma 
图 7-16 RIP 的 水 平分 割 及 触发 更 新 拓扑 
实验 编 址 
实验 编 址 见 表 7-7。 
表 7-7 实验 编 址 





R1 (AR2220) GE 0/0/0 172.16.1.1 255.255:255.0 N/A 
GE 0/0/2 172.16.2.1 2535.255.255.0 N/A 
R2 (AR2220) GE 0/0/1 172.16.2.2 255.255.255.0 N/A 
Ethernet 1/0/0 192.168.2.254 255.255.255.0 N/A 
R3 CAR2220) GE 0/0/1 172.16;.1.2 255.255.255:0 N/A 
Ethernet 1/0/0 192.168.1.254 255.255.255.0 N/A 

PC-1 Ethernet 0/0/1 192.168.2.1 255.255.255.0 192.168.2.254 

PC-2 Ethernet 0/0/1 192.168.1.1 255.255.255.0 192.168.1.254 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 


ps 
时. E | 
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[Rllping -¢ 1 172.16.1.2 
PING 172.16.1.2: 56 data bytes, press CTRL C to break 
Reply from 172.16.1.2: bytes=56 Sequence=1 ttl=255 time=80 ms 
-~- 172.16.1.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 80/80/80 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2， 搭建 RIP 网 络 
根据 图 7-16， 在 R1、R2、R3 上 配置 RIP 协议 ， nn RIP 协议 中 。 


[Riljrip 1 
[R1-rip-l]version 2 
[R1-rip-ljnetwork 172.16.0.0 


[R2]rip 1 

[R2-rip-1jversion 2 
[R2-rip-l]network 192.168.2.0 
[R2-rip-1jnetwork 172.16.0.0 


[R3]rip 1 

[R3-rip-l]version 2 
[R3-rip-l]network 172.16.0.0 
[R3-rip-l]network 192.168.1.0 


配置 完成 后 ， 查 看 R1 的 路 由 表 。 
[R1ldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 





Destinations : 8 Routes: 8 
Destination/Mask Proto Je Cont Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 ”Direct 0 0 也 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172:16.1.1 GigabitEthernet0/0/0 
172.16.1.1/32: Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
172.16.2.0/24 Direct 0 0 mm 172,16.2.1 GigabitEthernet0/0/2 
2216.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.1.0/24 RIP 0 也 172.16.1.2 GigabitEthernet0/0/0 
192.168.2.0/24 RIP 100 71 D T2106.2.2 “~ GigabitEthernet0/0/2 


可 以 观察 到 ，R1 已 经 正常 获取 到 了 PC-1 与 PC-2 所 在 网 段 的 RIP 路 由 信息 。R2、 
R3 上 的 查看 过 程 省 略 。 

3， 验证 触发 更 新 

断 掉 R3 与 S1 之 间 的 链 路 〈 在 模拟 器 上 直接 删除 该 链 路 )， 然 后 查看 R2 的 路 由 表 。 

[R2]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cont Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127,0.0.1 InLoopBack0 
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127.0.0.1/32 Direct 0 
172.16.1.0/24 RIP 100 
172.16.2.0/24 Direct 0 
172.16.2.2/32 Direct 0 
192.168.1.0/24 RIP 100 
192.168.2.0/24 Direct 0 192.168.2.254 Ethernet1/0/0 
192.168.2.254/32 Direct 0 127.0.0.1 Ethermnet1/0/0 


可 以 观察 到 192.168.1.0 网 段 的 路 由 信息 仍然 存在 。 这 是 因为 断 掉 的 不 是 R1 的 直 连 
接口 ，R1 此 时 无 法 直接 感知 到 故障 的 发 生 ， 路 由 条 目 需要 等 180s 的 老化 计时 器 超时 后 ， 
此 路 由 条 目 才 会 在 路 由 表 中 删除 。 

等 待 180s 老化 时 间 后 ， 查 看 R2 的 路 由 表 。 


[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


127.0.0.1 InLoopBack0 
172.16.2.1 GigabitEthernet0/0/1 
172.16.2.2 GigabitEthernet0/0/1 
127.0.0:1 GigabitEthernetO/0/1 
.72.162.1 GigabitEthemet0/0/] 


ooNoom-o 
口 -已 ' 副 号 这 总 电 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 B 127.0,0,1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 172.16.2.1 GigabitEthernet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/1 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.0/24 ”Direct 0 0 D 192.168.2.254 。” Ethernetl/0/0 
192.168.2.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 


可 以 观察 到 此 时 192.168.1.0 网 段 的 路 由 信息 已 经 从 路 由 表 中 删除 。 
恢复 R3 与 S1 之 间 的 链 路 〈 在 模拟 器 上 重新 连 线 )， 并 在 R2 的 路 由 表 正 党 后， 断 掉 
R1 与 S1 之 间 的 链 路 ， 查 看 R2 路 由 表 。 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
ee 
Destinations : 6 Routes :6 


Destination/Mask Proto Pre (Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/1 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/1 
192.168.2.0/24 0 0 D 192.168.2.254 Ethemetl/0/0 
192.168.2.254/32 Dd D 127.0.0.1 Ethernet1/0/0 


可 以 观察 到 er 168.1.0 网 段 的 路 由 信息 已 经 不 存在 , 因为 断 掉 的 是 R1 的 直 连 接口 ， 
所 以 R1 能 够 直接 感知 到 链 路 发 生 故 障 ， 在 路 由 表 删 除 192.168.1.0 的 路 由 同时 ， 并 会 触 
发 更 新 ， 使 得 R2 上 的 路 由 表 为 最 新 状态 。 

4. 验证 水 平分 割 

在 R2 上 使 用 debugging rip 1 send GigabitEthernet 0/0/1 命令 打开 debug 功能 ， 再 


用 terminal monitor、terminal debugging 命令 查看 R2 发 送 给 R1 的 路 由 条 目 。 
<R2>debugging rip 1 send GigabitEthernet 0/0/1 
<R2>terminal monitor 
<R2>terminal debugging 
<R2> 
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Jun 19 2013 19:17:59.640.1-08:00 R2 RIP/7/DBG: 6: 12227: RIP 1: Sending response 

on interface GigabitEthernet0/0/1 from 172.16.2.2 to 224.0.0.9 

Jun 19 2013 19:17:59.640.2-08:00 R2 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmd response, Length 24 

Jun 19 2013 19:17:59.640.3-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.2.0/24, Nexthop 0.0.0.0, Cost 1, Tag 0 


从 debug 的 信息 中 可 以 观察 到 R2 发 送 给 R1 的 路 由 条 目 中 没有 包含 192.168.1.0 网 
段 的 路 由 信息 ， 因 为 该 路 由 条 目 是 从 RI1 始 发 过 来 的 。 

下 面 关 闭 debug， 并 在 R2 的 GE 0/0/1 和 RI 的 GE 0/0/2 接口 下 使 用 undo rip 
split-horizon 命令 关闭 水 平分 割 功能 。 

<R2>undo debugging all 

<R2>system-view 

[R2]interface GigabitEthernet0/0/1 

[R2-GigabitEthernet0/0/1Jundo rip split-horizon 


[Rljinterface GigabitEthernet0/0/2 
区 1-GigabitEthernet0/0/2]undo rip split-horizon 


配置 完成 后 查看 debug 信息 。 

<R2>debugging rip 1 send GigabitEthernet 0/0/1 

<R2>terminal monitor 

‘<R2>terminal debugging 

Jun 19 2013 19:21:53.910.4-08:00 R2 RIP/7/DBG: 6: 12315: Dest 172.16.0.0/16, Next 

hop 0.0.0.0, Cost 1, Tag 0 

Jun 19 2013 19:21:53.910.5-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.1.0/24, Nexthop 0.0.0.0, Cost 3, Tag 0 
Jun 19 2013 19:21:53.910.6-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.2.0/24, Nexthop 0.0.0.0, Cost 1, Tag 0 


从 debug 信息 中 可 以 观察 到 R2 发 送 给 R1 的 路 由 条 目 中 包含 有 192.168.1.0 网 段 ， 
此 时 接口 上 的 水 平分 割 功能 不 生效 。 

5 验证 毒性 逆转 

关闭 debug， 并 在 R2 的 GE 0/0/1 接口 下 恢复 水 平分 割 功能 。 

<R2>undo debugging all 

<R2>system-view 

[R2]interface GigabitEthernet0/0/1 

[R2-GigabitEthernet0/0/1 1]rip split-horizon 

配置 完成 后 ， 在 R2 上 开启 debug 功能 。 

<R2>debugging rip 1 send GigabitEthernet 0/0/1 

<R2>terminal monitor 

<R2>terminal debugging 

<R2> 

Jun 19 2013 19:28:06.720.1-08:00 R2 RIP/7/DBG: 6: 12227: RIP 1: Sending response 

on interface GigabitEthernet0/0/1 from 172.16.2.2 to 224.0.0.9 

Jun 19 2013 19:28:06.720.2-08:00 R2 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmd response, Length 24 

Jun 19 2013 19:28:06.720.3-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.2.0/24, Nexthop 0.0:0.0, Cost 1, Tag 0 


通过 debug 信息 可 以 观察 到 ， 此 时 开启 了 水 平分 割 后 ，R2 发 送 给 R1 的 路 由 条 目 中 
没有 包含 192.168.1.0 网 段 。 

关闭 debug， 并 在 R2 的 GE 0/0/1 接口 下 使 用 rip poison-reverse 命令 开启 毒性 
逆转 功能 。 

<R2>undo debugging all 

<R2>system-view 

[R2]interface GigabitEthernet0/0/1 

[R2-GigabitEthernet0/0/1]rip poison-reverse 


配置 完成 后 ， 查 看 debug 信息 。 
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<R2>debugging rip 1 send GigabitEthernet 0/0/1 

<R2>terminal monitor 

<R2>terminal debugging 

Jun 19 2013 19:30:00.520.2-08:00 R2 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmd r * esponse, Length 64 

Jun 19 2013 19:30:00.520.4-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.1.0/24, Nexthop 172.16.2.1, Cost 16, Tag 0 
Jun 19 2013 19:30:00.520.5-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.2.0/24, Nexthop 0.0.0.0, Cost 1, Tag 0 


可 以 观察 到 ，R2 发 送 给 R1 的 路 由 条 目 中 包含 了 192.168.1.0 网 段 ， 但 是 cost 值 为 
16。 说 明 在 毒性 逆转 和 水 平分 割 同时 开启 的 情况 下 ， 简 单 的 水 平分 割 行为 (从 某 接口 学 
到 的 路 由 再 从 这 个 接口 发 布 时 将 被 抑制 ) 会 被 毒性 逆转 行为 代替 。 


思考 


水 平分 割 可 以 防止 环 路 ， 那 为 什么 RIP 协议 还 需要 其 他 防 环 机 制 ? 水 平分 割 的 局 限 
性 在 哪儿 ? 


7.8 配置 RIP 路 由 附加 度量 值 


原理 概述 


路 由 附加 度量 值 是 在 RIP 路 由 原来 度量 值 的 基础 上 所 增加 或 减少 的 度量 值 ( 跳 数 )。 
对 于 RIP 接收 和 发 布 路 由 ， 可 通过 不 同 的 命令 配置 附加 度量 值 更 加 灵活 地 控制 RIP 的 路 
由 选择 。 

rip metricin 命令 用 于 在 接收 到 路 由 后 , 给 其 增加 一 个 附加 度量 值 , 再 加 入 路 由 表 中 ， 
使 得 路 由 表 中 的 度量 值 发 生变 化 。 运 行 该 命令 会 影响 到 本 地 设备 和 其 他 设备 的 路 由 选择 。 

rip metricout 命令 用 于 自身 路 由 的 发 布 ， 发 布 时 增加 一 个 附加 的 度量 值 ， 但 本 地 路 
由 表 中 的 度量 值 不 会 发 生变 化 。 运 行 该 命令 不 会 影响 本 地 设备 的 路 由 选择 ， 但 是 会 影响 
其 他 设备 的 路 由 选择 。 


实验 目的 


。 理解 RIP 路 由 附加 度量 值 应 用 场景 
。 掌握 使 用 metricin 方式 附加 度量 值 的 方法 
。 掌握 使 用 metricout 方式 附加 度量 值 的 方法 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 路 由 器 R1 左 侧 连接 的 是 公司 市 场 部 ， 路 由 器 R4 右 侧 连 
接 的 是 公司 财务 部 ，R1 与 R4 之 间 通 过 R2、R3 双 链 路 连接 ,所 有 路 由 器 运行 RIP 协议 ， 
R1 与 R4 之 间 互 访 的 流量 通过 两 条 链 路 负载 分 担 。 现 在 网 络 管理 员 在 R2 上 做 了 流量 控 
制 ， 要 求 所 有 市 场 部 访问 财务 部 的 流量 都 必须 经 过 R2， 同 时 为 了 减轻 R2 的 负担 ， 由 财 
务 部 去 往 市 场 部 的 流量 都 由 R3 来 转发 。 网 络 管理 员 可 通过 两 种 RIP 路 由 附加 度量 值 的 
方式 修改 相应 的 路 由 度量 值 ， 灵 活 控制 RIP 的 路 由 选择 来 达到 公司 的 流量 控制 。 


216 HCNA 网 络 技术 实验 指南 











实验 拓扑 
配置 RIP 路 由 附加 度量 值 的 拓扑 如 图 7-17 所 示 。 
R2 
2 I00242 


GE 0/0/0 


100321 
GE 0/0/0 


S2 


=] 





Ethernet 0/0/1 Ethernet 0/0/1 


TE GE 0/0/1 GE 0/0/0 Ethernet 0/0/2 
00133 民 oe 
Ethernet 0/0/1 R3 
Ethernet 0/0/1 
市 场 部 财务 部 
PC-!1 PC-2 
Mo 
图 7-17 配置 RIP 路 由 附加 度量 值 拓扑 
实验 编 址 
实验 编 址 见 表 7-8。 
表 7-8 实验 编 址 
设备 接口 默认 网 关 





R1 (AR2220) GE 0/0/1 10.0.13.1 255.255.235:0 N/A 
GE 0/0/2 192.168.1.254 255,235.255.0 N/A 
GE 0/0/0 10.0.12.2 255.255.255.0 N/A 
R2 (AR2220) 
GE 0/0/1 10.0.24.2 255.255,255.0 N/A 
GE 0/0/0 10.0.34.3 255.255.255.0 N/A 
R3 (AR2220) 
GE 0/0/1 10.0.13.3 255.255.255.0 N/A 
GE 0/0/0 10.0.34.4 255.255.255.0 N/A 
R4 (AR2220) GE 0/0/1 10.0.24.4 255.255.255:0 N/A 
GE 0/0/2 192.168.2.254 255.255.255.0 N/A 
PC-1 Ethernet 0/0/1 192.168.1.1 255.253,235.0 192.168.1.254 
PC-2 Ethernet 0/0/1 192.168.2.1 255.255:255,0 192.168.2.254 


GE 0/0/0 10.0.12.1 255,255.255.0 N/A 


0 


| 
E 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 
[RIjping 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL _C to break 
Reply from 10.0.12.2: bytes=56 Sequence=]1 ttl=255 time=50 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.0.12.2; bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.0.12.2:'bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=] ms 
--- 10.0.12.2 ping statistics --- 

5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/16/50 ms 

其 他 直 连 网 段 的 连通 性 检测 省 略 。 

2. 搭建 RIP 网 络 

公司 内 部 网 络 使 用 RIP 协议 。 首 先 配 置 R1、R2、R3 和 R4 运行 RIP 协议 ， 通 告 所 

有 网 段 ， 使 公司 网 络 互通 。 

[Rljrip 1 

[R1-rip-l]version 2 

[R1-rip-1]undo summary 

[Rl-rip-1]network 10.0.0.0 

[RI-rip-l]network 192.168.1.0 


其 他 路 由 器 配置 省 略 。 配 置 完 成 后 查看 R1 的 路 由 表 。 
[R1]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 16 Routes : 17 
Destination/Mask ~ Proto Pre Cost Flags NextHop Interface 

10.0.12.0/24 Direct 0 0 Dts0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 好 TO GigabitEthernet0/0/0 
10.0.12.255/32 ”Direct 0 0 D 127.0.0.l GigabitEthernet0/0/0 
10.0.13.0/24 Direct 0 0 D 10.0:13i1 GigabitEthemet0/0/1 
10.0.13.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernetO0/0/1 
10.0.13.255/32 Direct 0 0 De— 127.0.0.1 GigabitEthernet0/0/1 
10.0.24.0/24 RIP 100 1 BD :10:0122 GigabitEthernet0/0/0 
10.0.34.0/24 RIP 100 1 D100.133 GigabitEthernet0/0/1 

127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 

127.0.0.1/32 Direct 0 0 BD "127.00] InLoopBack0 

127.255.255.255/32 Direct 0 0 D 127.0.0.1 JnLoopBack0 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthemet0/0/2 
192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/2 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.2.0/24 RIP 100 2 Delld0Ql22 GigabitEthemet0/0/0 
RIP 100. 12 D033 GigabitEthernet0/0/1 

255.255.295,255/32 Dec 0 DD" OGL JnLoopBack0 
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可 以 观察 到 在 RI 上 存在 两 条 通过 RIP 协议 接收 到 的 去 往 财 务 部 所 在 网 段 
192.168.2.0/24 的 路 由 条 目 。 

同样 在 R4 上 查看 路 由 表 。 

<R4>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 16 Routes : 17 
Destination/Mask ~ Proto Pre Cost Flags NextHop Interface 
10,0.12.0/24 RIP 100 1 D 10.0.24.2 GigabitEthemet0/0/1 
10.0.13.0/24 RIP 100 1 D 10.0.34.3 GigabitEthernet0/0/0 
10.0.24.0/24 Direct 0 0 D 10.0.24.4 GigabitEthermnetO0/0/1 
10.0.24.4/32 Direct 0 0 D 127.0.0.] GigabitEthernet0/0/1 
10.0.24.255/32 Direct 0 0 D 127.0.0.l GigabitEthernet0/0/1 
10.0.34.0/24 Direct 0 0 D 10.0.34.4 GigabitEthernet0/0/0 
10.0.34.4/32 Direct 0 0 D2 GigabitEthernet0/0/0 
10.0.34.255/32 Direct 0 0 D “127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JnLoopBack0 
127.2535.253253132 Direct, 0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 RIP 100 2 D 10.0.34.3 GigabitEthermet0/0/0 
RIP ”100 -2 D 10.0.24.2 GigabitEthemet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 GigabitEthernet0/0/2 
192.168.2.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


同样 可 以 观察 到 在 R4 上 存在 两 条 通过 RIP 协议 接收 到 的 去 往 市 场 部 所 在 网 段 
192.168.1.0/24 的 路 由 条 目 ， 且 有 两 个 下 一 跳 ， 呈 现 负载 分 担 。 

3. 配置 RIP Metricin 

在 Rl 的 GE 0/0/1 接口 下 使 用 rip metricin 2 命令 , 设置 Rl 在 接收 R3 发 送 来 的 路 由 
条 目 时 增加 度量 值 2。 这 样 由 了 R3 发 给 Rl 的 路 由 条 目的 度量 值 将 大 于 R2 发 给 R1 的 路 由 ， 
R1 会 优选 R2 发 来 的 RIP 路 由 条 目 ， 并 加 入 路 由 表 中 。 

[Rl]interface GigabitEthernet 0/0/1 

[R1-GigabitEthernet0/0/1]rip metricin 2 

配置 完成 后 ， 查 看 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 16 Routes : 16 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D. IZHR0l GigabitEthernet0/0/0 

10.0.12.255/32 Direct 0 0 BD 12700 GigabitEthermet0/0/0 
10.0.13.0/24 Direct 0 0 BIO GigabitEthemet0/0/1 -一 
10.0.13.1/32 Direct 0 0 D “127.0.0.1 GigabitEthernet0/0/1 

10.0.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.0.24.0/24 RIP 100 1 D 10.0.122 GigabitEthernet0/0/0 
10.0.34.0/24 RIP 100 3 Dr 10M03 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.l InLoopBack0 
127.0.0.1/32 Direct 0 0 D “127.0.0.1 InLoopBack0 
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127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 _ Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/2 
192.168.1.254/32 Direct 0 0 D127:00:1 GigabitEthernet0/0/2 
192.168.1.255/32 Direct 0 0 0 了 GigabitEthernet0/0/2 
192.168.2.0/24 RIP 100 2 D10.0,12.2 GigabitEthernet0/0/0 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
可 以 观察 到 ， 此 时 在 R1 上 访问 财务 部 网 段 只 有 一 个 下 一 跳 R2， 在 R1 上 查看 RIP 
的 数据 库 。 
[RI]display rip 1 database 


Advertisement State : [A] -Advertised 
四 -NotAdvertised/Withdraw 
10.0.0.0/8, cost 0, ClassfulSumm 
10.0.12.0/24, cost 0, [A], Rip-interface 
10.0.13.0/24, cost 0, [A], Rip-interface 
10.0.24.0/24, cost 1, [A], nexthop 10.0.12.2 
10.0.34.0/24, cost 16, [1], nexthop 10:0.13.3 
10.0.34.0/24, cost 2, [Al, nexthop 10.0.12.2 
192.168.1.0/24, cost 0, ClassfulSumm 
192.168.1.0/24, cost 0, [A], Rip-interface 
192.168.2.0/24, cost 2, ClassfulSumm 
- 192.168.2.0/24, cost 2, [Al], nexthop 10.0.12.2 
192.168.2.0/24, cost 16, [1], nexthop 10.0.13.3 


可 以 观察 到 在 RIP 的 数据 库 中 , 还 是 存在 下 一 跳 为 R3 的 去 往 192.168.2.0/24 网 段 的 
路 由 ， 但 cost 值 被 设 为 16， 即 不 可 达 。 

在 PC-1 上 测试 访问 PC-2 所 经 过 的 网 关 设 备 。 

PC>tracert 192.168.2.1 

traceroute to 192.168.2.1, 8 hops max 


(ICMP), press Ctrl+C to stop 
1 192.168.1.254 31 ms 31 ms 16ms 
2 .10.0.12.2 31 ms 31 ms 47 ms 
3 10.0.24.4 31 ms 31 ms 16ms 
4 192.168.2.1 47 ms 47ms 62 ms 


可 以 观察 到 ， 数 据 包 此 时 是 经 过 R2 转发 至 PC-2 的 。 

4. 配置 RIP Metricout 

为 了 减轻 R2 的 负担 ， 所 有 由 财务 部 去 往 市 场 部 的 流量 都 由 R3 来 转发 。 

在 R2 上 的 GE 0/0/1 接口 下 使 用 rip metricout 2 命令 ,设置 R2 在 向 R4 发 送 路 由 条 
目 时 增加 度量 值 2。 这 样 R4 收 到 来 自 R2 的 路 由 的 度量 值 就 会 大 于 来 自 R3 的 路 由 ，R4 


会 优选 来 自 R3 的 RIP 路 由 条 目 ， 并 加 入 到 路 由 表 中 。 
[R2]interface GigabitEthernet0/0/1 
[R2-GigabitEthernet0/0/1]rip metricout 2 
配置 完成 后 ， 查 看 路 由 表 。 
<R4>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 16 Routes : 16 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 RIP 100 2 D 10.0.24.2 GigabitEthernet0/0/1 
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10.0.13.0/24 RIP 100 1 D 10.0.34.3 GigabitEthernet0/0/0 
10.0.24.0/24 Direct 0 0 D 10.0.24.4 GigabitEthemet0/0/1 
10.0.24.4/32 Direct 0 0 D “12700.1 GigabitEthernet0/0/1 
10.0.24.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/]1 
10.0.34.0/24 Direct 0 0 D 10.0.34.4 GigabitEthernet0/0/0 
10.0.34.4/32 Direct 0 0 D127004 GigabitEthernet0/0/0 
10.0.34.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.:00/8 7 Direet™ QO Dm i200 InLoopBack0 
127.0.0.1/32 Direct 0 0 D127.004 InLoopBack0 
127.255.255.255/32 Direct 0 0 DT ulro0d InLoopBack0 
~ 192.168.1.0/24 RIP 100 2 D 100343 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 0 Do 1: 168.2.254 GigabitEthernet0/0/2 
192.168.2.254/32 Direct 0 0 Di 127.00 广 GigabitEthernet0/0/2 
192.168.2.255/32 Direct 0 0 127.0.0.1 GigabitEthernet0/0/2 
255.255.255.255/32 Direct 0 0 127.0.0.1 ‘ InLoopBack0 一 


可 以 观察 到 ， 此 时 在 R4 上 访问 市 场 部 网 段 只 4 有 一 个 下 一 跳 R3， 在 PC-2 上 测试 访 
问 PC-1 所 经 过 的 网 关 设 备 。 


PC>tracert 192.168.1.1 
traceroute to 192.168.1.1, 8 hops max 
(ICMP), press Ctrl+C to stop 


1 192.168.2.254 31ms 31 ms 16ms 
2 10.0.34.3 31 ms 47 A 
3 10.0.13.1 31 ms 16ms ms 


4 192.168.1.1 62 ms 47ms 


可 以 观察 到 ， 数据 包 此 时 是 经 过 R3 转发 至 PC-1 的 。 
思考 


无 论 是 配置 metricin 还 是 metricout 都 会 将 所 有 RIP 路 由 条 目的 度量 值 增加 ， 如 何 
在 完成 对 财务 部 路 由 附加 度量 值 配置 的 同时 不 影响 其 他 RIP 路 由 的 Metric 值 ? 


7.9 ”RIP 的 故障 处 理 


原理 概述 


在 实际 的 小 型 网 络 中 ， 设 计 者 可 能 会 选用 RIP 作为 网 络 路 由 协议 ， 但 在 实际 操 
作 配 置 中 ， 往 往 会 出 现 人 为 的 疏忽 、 错 误 配置 等 种 种 问题 造成 网 络 不 能 正常 通信 。 
这 便 需 要 网 络 管理 员 具 有 一 定 的 故障 处 理 能 力 ， 去 排除 网 络 中 的 故障 以 恢复 网 络 
通信 。 

下 面 为 RIP 中 常见 的 故障 : 

(1) 接口 状态 不 是 UP; 

(2) RIP 进程 下 没有 对 该 网 段 做 network 配置 ; 

(3) 对 端 RIP 协议 报 文 的 版 本 号 和 本 地 接收 的 RIP 协议 报 文 版 本 号 不 一 致 ; 

(4) 接口 上 配置 了 禁止 接收 RIP 报 文 或 禁止 发 送 RIP 报 文 的 命令 ; 

(5) 在 RIP 中 配置 了 策略 ， 过 滤 掉 收 到 的 RIP 路 由 或 不 允许 发 送 RIP 路 由 ; 
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(6) 接口 上 没有 开启 水 平分 割 ; 

(7) 链 路 两 端的 接口 认证 方式 不 匹配 ; 

(8) 路 由 表 中 存在 从 其 他 协议 获得 的 相同 路 由 条 目 ; 

(9) 收 到 的 路 由 度量 值 大 于 16。 

可 以 根据 以 上 的 常见 问题 ， 制 定 出 合理 的 故障 排除 步骤 。 比 如 检查 第 一 项 时 ， 首 
先 使 用 相关 的 配置 命令 查看 接口 状态 是 否 UP， 这 就 要 求 熟 悉 用 于 检查 各 个 状态 的 
配置 命令 。 若 第 一 项 没有 问题 ， 则 按 顺 序 查 看 下 一 项 ， 直 到 排查 出 错误 ， 恢 复 网 络 
的 正常 。 


实验 目的 


。 掌握 RIP 故障 的 常见 原因 

。 掌握 RIP 故障 诊断 流程 

。 掌握 RIP 故障 处 理 步 又 

。 掌握 RIP 故障 排除 的 常用 命令 
实验 内 容 

本 实验 模拟 企业 网 络 场景 。R1 为 该 公司 出 口 网 关 路 由 器 ， 连 接 运营 商 网 络 ; 
R2 为 公司 HR 部 门路 由 器 与 网 关 相连 ; 由 于 公司 的 网 络 规模 比较 小 ,所 以 选择 使 用 
RIPv2 来 作为 动态 路 由 协议 实现 公司 整 网 互通 。 现 在 公司 IT 部 门 员 工 发 现 用 PC-2 无 法 与 
HR 部 门 的 PC-1 通信 ， 作 为 公司 的 网 络 管理 员 ， 现 需 对 此 网 络 故 障 进行 排查 ， 恢 复 网 络 。 
两 台 PC 都 确认 了 IP 地 址 和 网 关 地 址 设置 正确 , 现 给 出 公司 网 络 拓扑 以 及 3 台 路 由 器 的 配 
置 ,请 用 模拟 器 搭建 网 络 并 把 已 经 给 出 的 配置 拷贝 入 对 应 路 由 嚣 中， 再 进行 故障 处 理 。 本 
实验 较 全 面 地 介绍 了 RIP 的 排 障 流程 ， 适 合 大 部 分 RIP 网 络 。 


实验 拓扑 
公司 网 络 拓扑 如 图 7-18 所 示 。 





图 7-18 RIP 的 故障 排除 拓扑 
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实验 编 址 


实验 编 址 见 表 7-9。 
表 7-9 实验 编 址 
设备 
ap 
255.255.255.0 


默认 网 关 
N/A 
N/A 
N/A 





R2 (AR1220) GE 0/0/0 192.168.1.1 255.255.255.0 
Ethernet 1/0/1 172.16.1.254 255.255.255.0 
R3 (AR1220) GE 0/0/1 192.168.2.1 255.255.255.0 
Ethernet 1/0/1 172.16.2.254 255.255.255.0 


N/A 
N/A 
N/A 





PC-1 Ethernet 0/0/1 172.16.1.1 255:255.255.0 





PC-2 Ethernet 0/0/1 172.16.2.1 255.255.255.0 
实验 步骤 


1， 导 入 设备 预 配置 

本 实验 中 设置 了 如 下 故障 点 : 

图 R3 缺少 network 192.168.2.0 命令 ; 

加 在 R3 的 GE 0/0/1 接口 下 配置 undo rip input 命 令 ; 
加 关闭 Rl1 的 GE 0/0/1 接口; 

加 在 Rl 的 GE 0/0/0 接口 下 配置 rip metricin 15 命令 ; 


172.16.1.254 
172.16.2.254 


国 在 R2 的 GE 0/0/0 接口 下 配置 RIP 认证 ， 方 式 为 明文 认证 ， 密 码 huawei。 


下 面 即 为 3 台 路 由 器 R1、R2、R3 的 初始 配置 ， 直 接 使 用 即 可 。 
System-View 

sysname R1 

interface GigabitEthernet0/0/0 

ip address 192.168.1.2 255.255.255.0 
rip metricin 15 

interface GigabitEthernet0/0/] 

ip address 192.168.2.2 255.255.255.0 
shutdown 

rip 1 

version 2 

network 192.168.1.0 

network 192.168.2.0 


system-view 

sysname R2 

interface Ethernet1/0/1 

ip address 172.16.1.254 255.255.255.0 
interface GigabitEthernetO/0/0 

ip address 192.168.1.1 255.255.255.0 
rip authentication-mode simple huawei 
rip 1 

version 2 

network 172.16.0.0 

network 192.168.1.0 
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system-view 
sysname R3 
interface Ethernet1/0/1 
ip address 172.16.2.254 255.255.255.0 
interface GigabitEthernet0/0/1 
ipaddress 192.168.2.1 255.255.255.0 
undo rip input 
rip 1 
Version 2 
network 172.16.0:0 
在 接 下 来 的 步骤 中 网 络 管理 员 需 要 根据 逻辑 思路 , 并 借助 必要 的 查看 命令 来 进行 
排 障 。 
2. 排除 Rl 与 R2 间 的 故障 
网 络 管理 员 发 现 公司 网 络 此 时 出 现 故 障 ，IT 部 门 与 HR 部 门 的 终端 无 法 正常 互 访 。 
测试 IT 部 门 PC-1 与 HR 部 门 PC-2 间 的 连通 性 。 
PC>ping 172.16.2.1 
Ping 172.16.2.1; 32 data bytes, Press Ctrl_C to break 
Request timeout! 
Request timeout! 
Request timeout! - 
Request timeout! 
Request timeout! 
~- 172.16.2.1 ping statistics -~- 
5 packet(s) transmitted 
0 packet(s) received 
100.00% packet loss 
可 以 观察 到 无 法 正常 通信 ， 即 网 络 中 存在 故障 ， 但 此 时 网 络 管理 员 并 不 能 确定 故障 
位 置 。 首 先 在 PC-1 上 测试 与 网 关 设 备 R2 间 的 连通 性 。 
PC>ping 172.16.1.254 
Ping 172.16.1,254: 32 data bytes, Press Ctrl_C to break 
From 172.16.1.254: bytes=32 seq=1 ttl=255 time=15 ms 
From 172.16.1.254: bytes=32 seq=2 ttl=255 time<l ms 
From 172.16.1,254: bytes=32 seq=3 ttl=255 time<] ms 
From 172.16.1.254: bytes=32 seq=4 tt=255 time=16 ms 
From 172.16.1.254: bytes=32 seq=5 ttl=255 time=16 ms 
~-- 172.16.1.254 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/9/16 ms 
通信 和 正常， 表明 PC-1 跟 网 关 设 备 R2 间 的 链 路 没有 问题 。 
路 由 器 是 根据 路 由 表 来 进行 数据 转发 的 ， 所 以 在 R2 上 使 用 display ip routing-table 
命令 查看 是 否 有 PC-2 所 在 网 段 的 路 由 条 目 。 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 6 Routes :6 
Destination/Mask ”Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0:] JnLoopBack0 
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可 以 观察 到 , R2 上 没有 任何 通过 RIP 协议 接收 的 路 由 信息 , 说 明 R1 与 R2 间 的 RIP 
路 由 信息 通告 不 正常 ， 即 接 下 来 需要 在 R1 与 R2 之 间 排 障 。 
第 1 步 ， 检 查 R1 与 R2 所 在 直 连 链 路 上 的 物理 接口 状态 是 否 正常。 


可 以 观察 到 ， 物 理 接口 工作 正常 。“Physical” 为 UP， 即 接口 的 物理 状态 处 于 正常 启 
动 的 状态 ;“Protocol” 为 UP， 即 接口 的 链 路 协议 状态 处 于 正常 启动 的 状态 。 
在 R2 上 测试 与 Rl 间 直 连 链 路 的 连通 性 。 


可 以 观察 到 ， 连 通 性 没有 问题 ， 继 续 下 一 步 排查 。 
第 2 步 ， 检 查 直 连 链 路 上 的 接口 所 在 网 段 是 否 在 RIP 中 通告 。 
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Verify-source : Enabled 

Networks ; 

192.168.2.0 192.168.1.0 
Configured peers : None 


可 以 观察 到 ， 接 口 的 网 段 都 已 经 在 RIP 中 通告 ， 继 续 下 一 步 排查 。 
第 3 步 ,检查 RI、R2 上 的 RIP 协议 发 送 版 本 号 和 本 地 接口 接收 的 版 本 号 是 否 匹 配 。 
在 R1、R2 上 查看 相应 运行 在 RIP 协议 下 的 接口 的 详细 信息 。 


[Rlldisplay rip 1 interface GigabitEthernet 0/0/0 verbose 


GigabitEthemet0/0/0(192.168.1.2) 

State GP MTU :500 
Metricin Sy 

Metricout 1 

Input : Enabled Output : Enabled 
Protocol : RIPv2 Maulticast 


Send version : RIPv2 Multicast Packets 
Receive version : RIPv2 Multicast and Broadcast Packets 


Poison-reverse : Disabled 
Split-Horizon : Enabled 
Authentication type : Simple 

Replay Protection : Disabled 


[R2]display rip 1 interface GigabitEthernet 0/0/0 verbose 
GigabitEthernet0/0/0(192.168.1.1) 


State :UP MTU :500 
Metricin 0 

Metricout 1 

Input ; Enabled Output : Enabled 
Protocol : RIPv2 Multicast 


Sendversion :RIPv2 Multicast Packets 
Receive version : RIPv2 Multicast and Broadcast Packets 


Poison-reverse : Disabled 

Split-Horizon : Enabled 

Authentication type : None 

Replay Protection : Disabled 区 


可 以 观察 到 ， 双 方 的 发 送 版 本 号 和 本 地 接口 接收 的 版 本 号 匹配 ， 继 续 下 一 步 排查 。 

第 4 步 ， 由 于 目前 在 R2 上 没有 接收 到 R1 发 送 过 来 的 路 由 信息 ， 所 以 在 R2 上 的 入 
接口 检查 是 否 配 置 了 undo rip input、silent-interface 命 令 。 

查看 R2 入 接口 GE 0/0/0 的 配置 信息 。 


[R21]display current-configuration interface GigabitEthernet 0/0/0 
# 
interface GigabitEthernet0/0/0 
ip address 192.168.1.1 255.255.255.0 
rip authentication-mode simple cipher %$%6SB""x"Faa$$Ys*OMS$OAR*+pSf2099%03 
# 
Retum 


可 以 观察 到 , 目前 R2 的 入 接口 GE 0/0/0 上 并 没有 配置 undo rip input、 silent-interface 
命令 。 
第 5 步 ， 检 查 是 否 在 RIP 进程 中 配置 了 filter-policy 策略 ， 来 过 滤 掉 收 到 的 RIP 路 由 
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或 不 允许 发 送 RIP 路 由 。 


“可 以 观察 到 ， 并 没有 配置 策略 ， 继 续 下 一 步 排查 。 
第 6 步 ， 检 查 接口 上 是 否 已 经 开启 水 平分 割 ， 水 平分 割 为 默认 开启 。 查 看 R1 和 R2 
相应 接口 上 的 RIP 详细 信息 。 


可 以 观察 到 ， 接 口 下 没有 关闭 水 平分 割 ， 继 续 下 一 步 排查 。 
第 7 步 ， 检 查 链 路 两 端的 接口 认证 方式 是 否 匹 配 。 使 用 display rip 1 statistics 
interface 命令 查看 两 端 RIP 接口 上 的 统计 信息 。 
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Bad routes received 0 0 0 
Packet authentication failed 0 4 328 
Packet send failed 0 0 


0 

观察 到 有 认证 失败 的 RIP 报 文 ， 说 明 两 端的 RIP 认证 方式 有 问题 。 在 双方 路 由 器 上 
执行 display current-configuration 命令 查看 配置 信息 。 

[R2]display current-configuration 

# 


interface GigabitEthemet0/0/0 
ip address 192.168.1.1 255.255.255.0 
rip authentication-mode simple cipher %$%$B""x"|=aa$$Ys*OMSOAé&*pSf906$%5 


[Ri]display current-configuration 
六 
interface GigabitEthernet0/0/0 
ip address 192.168.1.2 255.255.255.0 


发 现 R2 的 GE 0/0/0 接口 下 配置 了 RIP 认证 ， 而 Rl 的 GE 0/0/0 接口 下 没有 配置 认证 。 
进入 R2 的 GE 0/0/0 接口 删除 该 认证 命令 。 


[R2]interface GigabitEthernet0/0/0 

[R2-GigabitEthernet0/0/0]undo rip authentication-mode 

配置 完成 后 ， 使 用 display ip routing-table protocol rip 命令 检查 双方 现在 是 否 能 够 
正常 收发 RIP 路 由 。 

[R2]display ip routing-table protocol rip 

[R2] 

[RI1]display ip routing-table protocol rip 

[R1] 

发 现 仍 然 没 有 相关 的 RIP 路 由 条 目 ， 继 续 下 一 步 排查 。 

第 8 步 ,查看 路 由 表 中 是 否 存在 从 其 他 协议 获得 的 相同 路 由 ， 查 看 R2 的 路 由 表 信息 。 

[R2]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 

Destinations : 6 Routes:6 

Destination/Mask Proto Bie Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 Donim Gt InLoopBack0 
127.0.0.1/32 Direct 0 0 也， 27.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172;16.1:254 ”Ethernetl/0/1 
172.16.1.254/32 Direct 0 0 D 127.0:0.1 Ethernet1/0/1 
192.168.1.0/24 Direct 0 0 D 192.168.1.1 GigabitEthermnet0/0/0 
192.168.1.1/32 Direct 0 0 0 GigabitEthermetO/0/0 


可 以 观察 到 ， 并 没 从 有 其 他 路 由 协议 获得 相同 的 路 由 ， 继 续 下 一 步 排查 。 

第 9 步 ， 检 查收 到 的 路 由 度量 值 是 否 大 于 16。 使 用 display rip 1 route 命令 查看 。 
[Rl]display rip 1 route 

Route Flags : R- RIP 

A-Aging,G - Garbage-collect 

er ne dle se ee 
Destination/Mask Nexthop Cost Tag Flags Sec 

172.16.1.0/24 192.168.1.1 ft62 -50 RG 16 


发 现 从 R1 接收 到 的 172.16.1.0 网 段 的 路 由 条 目 度量 值 是 16， 该 路 由 不 可 达 ， 所 以 


228 HCNA 网 络 技术 实验 指南 


不 会 将 该 路 由 添加 到 路 由 表 中 。 注 意 ， 如 果 操 作 到 该 步骤 时 距离 导入 预 配 置 的 时 间 间 隔 
过 久 ， 将 会 无 法 查看 到 该 结果 

在 Rl 上 使 用 display current-configuration | include rip 命令 , 查看 包含 字符 串 “rip” 
的 所 有 配置 信息 。 

[Rlldisplay current-configuration | include rip 

rip metricin 15 

rip1 

发 现 R1 上 配置 了 rip metricin 15 命令 ， 将 GE 0/0/0 接口 接收 到 的 路 由 都 加 上 了 15 
的 度量 值 ， 再 放 入 路 由 表 中 ， 导 致 172.16.1.0 网 段 的 路 由 条 目的 度量 值 是 16。 

进入 GE 0/0/0 接口 ， 删 除 该 命令 。 

[R1Jinterface GigabitEthermnetO/0/0 

[R1-GigabitEthermet0/0/0jundo rip metricin 

配置 完成 后 ， 在 R1 上 使 用 display ip routing-table 命令 ， 检 查 路 由 表 。 


[Rijdisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 | 
Destination/Mask ~ Proto Pre Cost Flags NextHop Interface ， 
127.0.0.0/8 Direct 0 0 D 127.0,0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 “Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 192.168.1,1 ‘GigabitEthernet0/0/0 
192.168.1.0/24 Direct 0 0 D 192.168.1.2 GigabitEthernet0/0/0 
192.168.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthermnet0/0/0 
192.168.1.255/32 Direct 0 0 > 127.0.0:1 GigabitEthernet0/0/0 
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopBack0 


可 以 发 现 R1 已 经 收 到 172.16.1.0 网 段 的 路 由 信息 , 接收 到 了 R2 通告 的 路 由 条 目 ， 
即 Rl 与 R2 之 间 的 故障 已 排除 完毕 。 

但 是 此 时 Rl 仍然 没有 R3 上 172.16.2.0 网 段 的 路 由 信息 ， 说 明 R1 与 R3 间 的 RIP 
路 由 信息 通告 不 正常 。 接 下 来 需要 在 R1 与 R3 之 间 排 障 。 

3. 排除 Rl 与 R3 间 的 故障 

第 1 步 ， 检 查 RI1 与 R3 所 在 直 连 链 路 上 的 物理 接口 状态 是 否 正常 。 


[Ril]display ip interface brief 

*down: administratively down 

^down: standby 

(D: loopback 

(Ss): spoofing 

The number of interface that is UP in Physical is 2 
The number of interface that is DOWN in Physical is 2 
The number of interface that is UP in Protocol is 2 
The number of interface that is DOWN in Protocol is 2 


Interface IP Address/Mask Physical Protocol _ 5 
GigabitEthernet0/0/0 192.168.1.2/24 up up 
yes 192.168.2.224 *down down 

unassigned -up up(s) 


可 以 观察 到 ， 物理 接口 工作 不 正常 。 接 口 的 物理 状态 和 链 路 协议 状态 都 不 正常 ， 并 
且 “Physical” 状 态 为 “*down”， 表 示 网 络 管理 员 在 该 接口 执行 了 shutdown 命令 。 
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进入 R1 的 GE 0/0/1 接口 ， 通 过 display this 命令 查看 接口 配置 。 


果然 发现 接口 下 配置 了 shutdown 命令， 在 该 接口 本 时 mndoshatdown 命令 。 


配置 完成 后 ， 测 试 连通 性。 


现在 恢复 正常 连通 。 检 查 R1 的 路 由 表 。 


发 现 没有 收 到 相关 的 RIP 路 由 条 目 ， 继 续 下 一 步 排 查 。 
第 2 步 ， 检 查 直 连 链 路 上 的 接口 所 在 网 段 是 否 在 RIP 中 通告。 
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Verify-source : Enabled 
Networks : 172.16.0.0 
Configured peers :None 


发 现 R3 上 没有 通告 192.168.2.0 网 段 。 

在 R3 上 执行 network 192.168.2.0 命令 ， 通 告 接 口 GE 0/0/1 所 在 网 段 。 
[R3]rip 1 

[R3-rip-1jnetwork 192.168.2.0 

配置 完成 后 ， 检 查 双 方 是 否 能 够 收发 RIP 路 由 条 目 。 

[R1]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 12 Routes : 12 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/0 
172.16.2.0/24 RIP 100 1 D 192.168.2.1 GigabitEthernet0/0/]1 
192.168.1.0/24 Direct 0 0 D 192.168.1.2 GigabitEthernet0/0/0 
192.168.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 0 D 192.168.2.2 GigabitEthernet0/0/1 
192.168.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 “Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 Ethernetl/O/1 
172.16.2.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.255/32 Direct 0 0 D 127.0.0.1 Ethermet1/0/1 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ，R1 此 时 能 够 正常 接收 到 R3 的 路 由 ， 但 是 R3 上 接收 不 到 R1 的 路 由 。 
第 3 步 ， 检 查 R1、R2 上 的 RIP 协议 发 送 版 本 号 和 本 地 接口 接收 的 版 本 号 是 否 匹 配 。 
在 R1、R3 上 查看 相应 RIP 接口 GE 0/0/1 的 详细 信息 。 


[Rl]display rip 1 interface GigabitEthernet 0/0/1 verbose 
GigabitEthernet0/0/1(192.168.2.2) 


State :DOWN MTU :500 
Metricin 0 

Metricout | 

Input : Enabled Output : Enabled 


Protocol : RIPv2 Multicast 
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Send version : RIPv2 Multicast Packets 
Receive version : RIPv2 Multicast and Broadcast Packets 


Poison-reverse : Disabled 
Split-Horizon : Enabled 
Authentication type :None 

Replay Protection : Disabled 


[R3]display rip 1 interface GigabitEthernet 0/0/1 verbose 
GigabitEthernet0/0/1(192.168.2.1) 


State :DOWN MTU :500 
Metricin <*0 

Metricout |， 

Input : Disabled Output : Enabled 
Protocol : RIPv2 Multicast 


Send version :RIPv2 Multicast Packets 
Receive version : RIPv2 Multicast and Broadcast Packets 


Poison-reverse : Disabled 
Split-Horizon :Enabled 
Authentication type : None 

Replay Protection : Disabled 


可 以 观察 到 ， 双 方 的 发 送 版 本 号 和 本 地 接口 接收 的 版 本 号 匹配 ， 继 续 下 一 步 排 查 。 

第 4 步 ， 由 于 目前 在 R3 上 没有 接收 到 R1 发 送 过 来 的 路 由 信息 ， 所 以 在 R3 上 的 入 
接口 检查 是 否 配置 了 undo rip input、silent-interface 命 令 。 

查看 R3 入 接口 GE 0/0/1 的 配置 信息 。 


[R3]Jinterface GigabitEthernet 1/0/1 
[R3-GigabitEthernet0/0/1]display this 
[V200R003C00] 
并 
interface GigabitEthermetl/O/L 
ip address 192.168.2.1 255.255.255.0 
undo rip input 


发 现 R3 的 GE 0/0/1 接口 下 配置 了 undo rip input 命令 禁止 RIP 报 文 的 接收 。 
执行 rip input 命令 使 接口 GE 0/0/1 可 以 接收 RIP 报 文 。 

[R3-GigabitEthemet0/0/1 Jrip input 

配置 完成 后 ， 检 查 双方 是 否 能 够 正常 收发 RIP 路 由 条 目 。 

[Rll]display ip routing-table 

Route Flags: R -relay, D - download to fib 


Routing Tables: Public 


Destinations : 12 Routes : 12 

Destination/Mask Proto Pre Cost Flags “NextHop Interface 

127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/0 
172.16.2.0/24 RIP 100 1 D 192.168.2.1 GigabitEthernet0/0/] 
192.168.1.0/24 Direct 0 0 D 192.168.1.2 GigabitEthernet0/0/0 
192.168.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 0 D 192.168.2.2 GigabitEthernet0/0/1 
192.168.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthermetO/O/1 
192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernetO/O/1 
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255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 12 Routes : 12 

Destination/Mask Proto” Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP jo D 192.168.2.2 GigabitEthemet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 CEthernet1/0/1 
172.16.2.254/32 Direct 0 0 D 127.0.0.L Ethermet1/0/1 
172.16.2.255/32 Direct 0 0 D 127.0.0.1 Ethemet1/0/1 
192.168.1.0/24 RIP j= 注 D 192.168.22 GigabitEthernetO/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.1 GigabitEthernet0/0/1 
192.168.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.255/32 《cDirect 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 双 方 能 正常 接收 到 对 方 RIP 路 由 。 
最 后 在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 
PC>ping 172.16.2.1 
Ping 172.16.2.1: 32 data bytes, Press CtrlL_C to break 
From 172.16.2.1; bytes=32 seq=1 ttl=125 time=93 ms 
From 172.16.2.1: bytes=32 seq=2 ttl=125 time=31 ms 
From 172.16.2.1: bytes=32 seq=3 ttl=125 time=16 ms 
From 172.16.2.1: bytes=32 seq=4 ttl=125 time=16 ms 
From 172.16.2.1: bytes=32 seq=5 ttl=125 time=15 ms 
-—- 172.16.2.1 ping statistics -一 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 15/34/93 ms 


通信 正常 ， 至 此 故障 排除 完成 。 
思考 


如 果 采 用 debug 或 者 抓 包 的 方式 排 错 ， 与 采用 查看 命令 进行 排 错 相 比 有 什么 优 劣 ? 


7.10 ”RIP 的 路 由 引入 


原理 概述 


设计 者 在 进行 网 络 规划 或 设计 时 , 一 般 都 设计 成 仅 运行 一 种 路 由 协议 , 以 降低 网 络 复杂 
性 ， 易 于 维护 。 但 是 ， 如 果 在 网 络 升级 、 扩 展 或 合并 时 ， 就 可 能 造成 在 网 络 中 同时 运行 几 种 
不 同 的 路 由 协议 ， 这 时 就 需要 部 署 路 由 协议 间 的 引入 ， 使 路 由 信息 能 够 在 不 同 协议 间 传 递 。 
RIP 支持 不 同 路 由 协议 的 引入 ， 包 括 直 连 路 由 、 静 态 路 由 或 其 他 动态 路 由 协议 。 由 
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于 RIP 的 度量 值 是 跳 数 且 最 大 值 不 能 超过 15, 所 以 在 将 其 他 路 由 协议 引入 至 RIP 时 需要 
注意 设置 度量 值 ， 避 免 引 入 的 路 由 度量 值 超过 15。 默 认 情 况 下 ， 引 入 另 一 种 协议 或 引入 
同 种 协议 的 不 同 进程 时 往往 是 把 该 协议 或 该 进程 的 所 有 路 由 一 起 引入 ， 可 以 在 引入 的 同 
时 通过 设置 策略 来 控制 和 过 滤 特 定 的 路 由 信息 。 


实验 目的 


。 掌握 RIP 路 由 引入 的 应 用 场景 
。 掌握 在 RIP 中 引入 直 连 路 由 的 配置 
。 掌握 在 RIP 中 引入 静态 路 由 的 配置 
。 理解 RIP 抑制 接口 的 使 用 场景 


实验 内 容 


A 和 B 两 家 公司 ，R4 是 公司 A 的 网 关 路 由 器 ， 左 侧 连 接 的 公司 A 内 网 ; R1 是 公司 B 的 
网 关 路 由 器 ， 右 侧 是 公司 B 的 内 网 。 内 网 中 的 R2 连接 财务 部 门 ，R3 连接 研发 部 门 ，3 台 路 
由 器 运行 RIP 协议 。 财 务 部 门 和 研发 部 门 不 希望 接收 到 大 量 RIP 的 更 新 报 文 ， 通 过 把 它们 的 
网 段 当 作 外 部 网 络 引 入 到 RIP 中 来 实现 。 而 在 优化 完 公 司 B 的 RIP 网 络 之 后 ， 要 求 公司 B 与 
公司 A 能 够 互相 通信 ， 现 需要 使 用 静态 路 由 和 路 由 引入 技术 使 两 家 公司 的 网 络 能 够 互 访 。 


实验 拓扑 


RIP 的 路 由 引入 拓扑 如 图 7-19 所 示 。 
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图 7-19 RIP 的 路 由 引入 拓扑 
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实验 编 址 


实验 编 址 见 表 7-10。 
表 7-10 实验 编 址 












































Eee 1/0/0 | 100131 | 0,13:1 
RI1 (AR1220) Ethernet 1/0/1 10.0.12.1 255.235.255.0 N/A 
Ethernet 2/0/0 14.1.1.1 2553:255.255.0 N/A 
T= 
Ethernet 1/0/0 192.168.2.254 255:255.255.0 N/A 
R2 (AR1220) | 
Ethernet 1/0/1 10.0.12.2 255.255.255.0 N/A 
Ethernet 1/0/0 192.168.3.254 


253.255.255,0 


Ethernet 1/0/1 10.0.13.3 255.255.255.0 
Ethernet 1/0/1 14.1.1.4 255255.255.0 


R3 (AR1220) 





R4 (AR1220) 





Ethernet 1/0/0 192.168.4.254 255.255.255.0 
Ethernet 0/0/1 192.168.2.254 


192.168.2.1 2535:235.255.0 
Ethernet 0/0/1 192.168.3.1 235:255.255.0 192.168.3.254 


Ethernet 0/0/1 192.168.4.1 255;255.255.0 192.168.4.254 





PC-1 
PC-2 











实验 步骤 
基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 


[R1jping 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.12.2; bytes=56 Sequence=1l ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=] ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=1 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=1 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=1 ms 
--- 10.0.12.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/2/10 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 公司 B 的 RIP 网 络 
在 公司 B 的 路 由 器 RI、R2 和 R3 上 配置 RIPv2 协议 ， 通 告 所 有 公司 B 内 部 网 段 。 
[ERljrip 1 
[Rl-rip-l]undo summary 
[R1-rip-l]version 2 
[R1-rip-1jnetwork 10.0.0.0 


[R2jrip I 
[R2-rip-1]undo summary 
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[R2-rip-1]version 2 
[R2-rip-1jnetwork 10.0.0.0 
[R2-rip-I]network 192.168.2.0 


[R3-mp-ljrip 1 

[R3-rip-llundo summary 
[R3-rip-l]version 2 

[R3-rip-l jnetwork 10.0.0.0 
[R3-rip-llnetwork 192.168.3.0 


配置 完成 后 ， 查 看 R1 路 由 表 。 
[Rlldisplay ip routing-table 
Route Flags: R -relay, D - download to fib 


Routing Tables: Public 


Destinations ; 15 Routes; 15 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 Ethernet1/0/1 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
10.0.12.255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
10.0.13.0/24 Direct 0 0 Di 10:0.13.1 Ethernet1/0/0 
10.0.13:1/32 Direct 0 0 DD. 127.0.0.1 Ethernet1/0/0 
10.0.13.255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
14.1.1.0/24 Direct 0 0 D4t1.1 Ethernet2/0/0 
14.1.1:1/32 Direct 0 0 D 127.0.0.1 Ethernet2/0/0 
14.1.1.255/32 Direct 0 0 B1270071 Ethernet2/0/0 
127.0.0.0/8 Direct 0 0 1 he yy | InLoopBack0 
127.0.0.1132 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255,255.255/32 Direct 0 0 Dt InLoopBack0 
192.168.2.0/24 RIP 100 ,1 D 10.0.12.2 Ethernet1/0/1 
192.168.3.0/24 RIP 100 1 D 10.0.13.3 Ethernet1/0/0 
255.255.255.255/32 Direct 0 0 D127.0,0:1 InLoopBack0 


可 以 观察 到 ， 此 时 公司 B 的 网 关 路 由 器 Rl1 已 经 成 功 接收 到 了 内 网 中 财务 部 
192.168.2.0/24 和 研发 部 门 192.168.3.0/24 网 段 的 路 由 条 目 。 

3. 优化 公司 B 的 RIP 网 络 

公司 B 网 络 搭建 完成 后 ， 网 络 管理 员 对 网 络 进 行 维护 。 在 R2 的 E 1/0/0 接口 抓 取 数 
据 包 ， 如 图 7-20 所 示 。 



















No. Time Source Destination Protocol Info 







23.433. 571 192.1 .254 PyZ WH) ] REPVI Resr 6 
37 73.539000 192.168.2.254 224.0.0.9 RIPV2 Response 





hh 局 员 
ed - 一 一 一 -一 -~ -nx at ra 


mH Frame 37; 126 bytes on wire (1008 bits), 126 bytes captured (1008 bits) 
田 Ethernet II, Src: HuaweiTe 04:bf:7d (00:e0:fc:04:bf:7d), Dst: IPv4Amcast_00:00:09 (01:00:5e:00:00:09) 
Internet Protocol, src: 192.168.2.254 (192.168.2.254), Dst: 224.0.0.9 (224.0.0.9) 
田 User Datagram Protocol, Src Port: router (520), Dst Port: router (520) 
3 Routing Information Protoco]l 
Command: Response (2) 
Version: RIPV2 (2) 
Routing Domain: 0 
田 IP Address: 10.0.12.0, Metric: 1 
田 IP Address: 10.0.13.0, Metric: 2 
田 IP Address: 192.168.2.0, Metric: 1 
田 IP Address: 192.168.3.0, Metric: 3 








图 7-20 抓 包 观 察 
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可 以 观察 到 , 此 时 R2 上 连接 财务 部 门 终端 一 侧 的 接口 上 会 通告 RIP 路 由 信息 ， 
而 这 些 RIP 报 文 对 终端 PC 而 言 是 毫 无 用 处 的 。 原 因 是 使 用 network 命令 通告 财务 
部 门 所 在 网 段 后 ，R2 的 该 E 1/0/0 接口 就 会 收发 RIP 协议 报 文 ， 不 管 对 端 设 备 是 否 
利用 。 

为 了 使 财务 部 门 的 终端 不 接收 这 些 无 用 RIP 更 新 报 文 ， 可 以 在 R2 的 RIP 进程 中 不 
使 用 network 命令 通告 该 网 段 ， 而 采用 引入 直 连 路 由 的 方式 来 代替 ， 将 财务 部 门 的 网 段 
作为 外 部 路 由 发 布 到 公司 RIP 网 络 中 。 

在 R2 上 使 用 import-route 命令 配置 路 由 引入 ， 指 定 引 入 的 源 路 由 协议 为 直 连 
路 由 。 





在 一 台 设 备 上 配置 路 由 引入 时 ， 需 要 保证 被 引入 的 路 由 条 目 已 经 存在 于 当前 设备 
的 路 由 表 中 

BR2]jrip 1 

[R2-rip-1jundo network 192.168.2.0 

[R2-rip-1jimport-route direct 

配置 完成 后 ， 查 看 R1 路 由 表 。 

[Rl]display ip routing-table 

Route Flags: R -relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Routing Tables; Public 


Destinations : 15 Routes : 15 
Destination/Mask ， Proto Pre Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 id? Ethernet1/0/1 
10.0.12.1/32 Direct 0 0 D 127.00.1 ~- Ethemetl/0/1 
10.0.12.255/32 Direct 0 0 DD i27001 Ethernet1l/0/] 
10.0.13.0/24 Direct 0 0 D 100131 Ethernet1/0/0 
10.0.13.1/32 Direct 0 0 DD 122001 Ethernet1/0/0 
10.0.13.255/32 Direct 0 0 D, (127.0W0u1 Ethernet1/0/0 
ft.11004 Direct 0 0 D T1414 Ethermet2/0/0 
4].1/32. Direet' 6 70 Dy A270:0.1 Ethernet2/0/0 
14.1,1.255/32 Direct 0 0 bz7004 Ethernet2/0/0 
127.0.0.0/8 Direct 0 0 D1270:0 InLoopBack0 
127.0.0.1/32 Direct 0 0 D127001 InLoopBack0 
127.255.255.255132 Direct ,0 ， 0 D 1270401 InLoopBack0 
Id.1682.0/24. RIB OG D10.0.12.2 Ethenet1/0/1 
192.168.3.0/24 RIP 100 1 D 100133 Ethernet1/0(0 
295.255.955255/32 Direct 070 D127001 InLoopBack0 


可 以 观察 到 ，R1 上 接收 到 了 R2 引入 的 192.168.2.0/24 网 段 的 路 由 信息 。 

再 次 在 R2 的 E1/0/0 接口 下 抓 包 ， 如 图 7-21 所 示 。 

可 以 观察 到 ， 现 在 该 接口 上 没有 发 送 任何 RIP 更 新 报 文 ， 即 此 时 已 经 完成 优化 ， 财 
务 部 门 的 终端 不 再 收 到 与 其 无 关 的 RIP 更 新 报 文 。 

可 以 在 R2 的 E 1/0/1 接口 上 抓 取 数据 包 观 察 区 别 ， 如 图 7-22 所 示 。 

可 以 观察 到 ， 在 该 E 1/0/1 的 接口 上 仍然 正常 发 送 RIP 更 新 报 文 ， 将 引入 后 的 
192.168.2.0/24 网 段 通告 出 去 。 

研发 部 门 也 会 有 相同 的 问题 一 一 收 到 对 用 户 无 用 的 RIP 报 文 ， 同 样 采用 引入 直 连 路 
由 的 方式 来 解决 ， 此 处 省 略 。 
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No. Source Destination Protocol info 
J0¢ Bl1L. IO0U HUGWET Ie /13:41: SPAaNMNINg- Tree-t SIr MSs, KOOT = LI/OO/U/HC: LT: CC- 
383 814 .4040 HuaweiTe_79:41: Spanning-tree-(STP MST. Root = 32768/0/4c;1f:ce: 
384 816.6340 HuaweiTe_79:41: Spanning-tree-(STP MST. Root = 32768/0/4c:1f:cc:7 
385 7720 HuaweiTe_79:41: Spanning-tree-CSTP MST. Root = 32768/0/4c:1f:cc:7 
386 820.9090 HuaweiTe_79:41: Spanning-tree-(STIP MST. Root = 32768/0/4c:1f:cc: 


387 823.0930 HuaweiTe_79:41: Spanning-tree-(STP MST. Root = 32768/0/4c:1f:cc: 
388 825 .2300 HuaweiTe_79:41: Spanning-tree-(STP MST. Root = 32768/0/4c:1f:cec:7 
389 827 .3830 HuaweiTe_79:41: Spanning-tree-(STP MST. Root = 32768/0/4c:1f:cc:7 
390 829.5510 HuaweiTe_79:41;: Spanning-tree-(STP MST. Root = 32768/0/4c:1f;cc:7? 
391 831.7820 HuaweiTe_79:41: Spanning-tree-(STP MST. Root = 32768/0/4¢c:1f:cc:7 
392 833.9190 HuaweiTe_79:41: Spanning-tree-CSTP MST,. Root = 32768/0/4c:1f:cc:7 
393 836.0410 HuaweiTe_79:41: Spanning-tree-(STP MST. Root = 32768/0/4c:1f:cce: 
394 838.1630 HuaweiTe_79:41: Spanning-tree-(STP MST, Root = 32768/0/4c:1f:cc:7/ 
1 RD PE sinatuimciie mm 
mFrame 100: 119 bytes on wire (952 bits), 119 bytes captured (952 bits) 
© IEEE 802.3 Ethernet 
mLogical-Link Control - 
a Spanning Tree Protocol 
Protocol Identifier: Spanning Tree Protocol (0x0000) 
Protocol Version Identifier: Multiple Spanning Tree (3) 
BPDU Type: Rapid/Multiple Spanning Tree (0x02) 
国 BPDU flags: 0x7c (Agreement, Forwarding, Learning, Port Role: Designated) 
HRoot Identifier: 32768 / 0 / 4c:1f:cc:79:41:39 
Root Path Cost: 0 
BBridge Identifier: 32768 / 0 / 4c:1f:cc:79:41:39 
Port identifier: Ox8001 
Message Age: 0 
Max Age: 20 




























00 Ol SU cz OV UU O00 4c lf cc 

0010 于 对 WU 

0020 ALUIE:L 0 
ENO2 00 Of 00 00 00 .40.00 3 .63 31 66 63 
AAA4n 4 和 oa A Ws 本 





图 7-21 抓 包 观察 





7 92.134000 10.0.12.2 









Fr 7: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
Ethernet II, Src: HuaweiTe_04:bf:7e (00:e0:fc:04:bf:7e), Dst: IPVv4mcast_00:00:09 (01:00:5e:00:00:09) 
Internet Protocol, src: 10.0.12.2 (10.0.12.2); Dst: 224.0.0.9 (224.0.0.9) 
田 User Datagram Protocol, Src Port: router (520), Dst Port: router (520) 
忆 Routing Information protocol 
Command: Response (2) 
Version: RIPV2 (2) 
Routing Domain: 0 
已 : 192.168,2.0, Metric; 1 
Address Family: IP (2) 
Route Tag: 0 
IP Address: 192.168.2.0 (192.168.2.0) 
Netmask: 255.255.255.0 (255.255.255.0) 
Next Hop: 0.0.0.0 (0.0.0.0) 
Metric: 1 














图 7-22 ” 抓 包 观 察 


4. 连接 公司 A 与 公司 B 的 网 络 

由 于 业务 需要 ， 需 要 公司 A 与 B 的 网 络 能 够 互相 访问 。 

在 公司 B 的 网 关 设 备 R1 上 配置 目的 为 192.168.4.0/24 网 段 的 静态 路 由 , 并 在 RIP 进 
程 中 引入 该 条 静态 路 由 , 引入 后 公司 B 中 RIP 网 络 内 的 所 有 路 由 器 会 通过 RIP 协议 自动 
学 习 到 该 路 由 。 

[RI1lip route-static 192.168.4.0 255.255.255.0 14.1.1.4 


[Rljrip 1 
[R1-rip-1]import-route static 


配置 完成 后 ， 查 看 公司 B 的 R2、R3 路 由 表 。 
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<R2>display ip routing-table 
Route Flags: R - relay, D - downloadto fib 


Routing Tables: Public 


Destinations : 13 Routes : 13 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Ethernet1/0/1 
10.0.12,2/32 “Direct 0 | Ethernet1/0/1 
10.0.12:255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
10.0.13.0/24 RIP 100 1 D = 100,12.1 Ethernet1/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127,0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D, "127.0:.0.1 InLoopBack0 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 _ Ethernet1/0/0 
192.168.2.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
192.168.2.255/32 Direct 0 0 D 127,0.0;l Ethermet1/0/0 
192.168.3.0/24 RIP 100 2 D 10.0.12.1 Ethernet1/0/] 
192.168.4.0/24 RIP 100 1 D - 10.0.12.1 Ethernet1/0/1 
255.255.255.255/32 Direct 0 0 D127.0:0,1 InLoopBack0 
<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 13 “Routes : 13 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 RIP 100 1 D 10.0.13.1 Ethernet1/0/1 
10.0.13.0/24 Direct 0 0 D 10.0.13.3 Ethernet1/0/1 
10.0.13.3/32 Direct 0 0 D27.00.1 Ethernet1/0/1 
10.0.13.255/32 Direct 0 0 D 127.0.0.l Ethernet1/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 - Direct 0 0 D 127.0.0.l InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.2.0/24 RIP 100 2 D 10.0.13.1 Ethernet1/0/] 
192.168.3.0/24 Direct 0 0 D 192.168.3.254 Ethernet1/0/0 
192.168.3.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
192.168.3.255/32 Direct 0 0 D: 127.0.0 Ethernet1/0/0 
192.168.4.0/24 RIP ph 1 D10:0.13.L Ethernet1/0/1 
255.255.255:255/32 Direct 0 D 127.0.0.l InLoopBack0 


可 以 观察 到 ， 此 时 公司 B 的 内 部 路 由 器 R2 和 R3 上 能 够 正常 获得 公司 A 内 部 网 段 
的 路 由 信息 。 但 是 此 时 公司 A 的 路 由 器 上 仍然 还 没有 公司 B 的 任何 路 由 信息 。 

在 R4 上 配置 一 条 默认 路 由 ， 下 一 跳 为 R1。 

[R4]ip route-static 0.0.0.0 0.0.0.0 14.1.1.1 

配置 完成 后 ， 查 看 R4 路 由 表 。 


[R4]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD Ethermetl/0/1 
14.1.1.0/24 Direct 0 0 D 14.1.1.4 Ethernet1/0/1 


14.1.1.4/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
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”可 以 观察 到 ， 静 态 路 由 配置 成 功 。 
在 PC-1 上 测试 与 PC.3 间 的 连通 性 。 


”可 以 观察 到 ，PC-1 与 PC-3 通信 正常 。 至此， 公司 A 和 B 之 间 可 以 正常 通信 。 
思考 
使 用 network 命令 方式 通告 路 由 ， 与 路 由 引入 的 方式 通告 路 由 有 什么 区 别 ? 





第 8 革 
OSPF 








OSPF 单 区 域 配置 

OSPF 多 区 域 配置 

配置 OSPF 的 认证 

OSPF 被 动 接口 配置 

理解 OSPF Router-ID 

OSPF 的 DR 与 BDR 

OSPF 开 销 值 、 协 议 优 先 级 及 计时 器 的 修改 
连接 RIP 与 OSPF 网 络 

使 用 RIP、OSPF 发 布 默认 路 由 
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8.1 OSPF 单 区 域 配置 


原理 概述 


为 了 弥补 距离 矢量 路 由 协议 的 不 足 , IETF 组 织 于 20 世纪 80 年 代 末 开发 了 一 种 
基于 链 路 状态 的 内 部 网 关 协 议 一 一 OSPF (Open Shortest Path First， 开 放 式 最 短路 径 
优先 》。 

最 初 的 OSPF 规范 体现 在 RFC 1131 中 ， 这 个 第 1 版 “OSPFv1) 很 快 被 进行 了 重大 
改进 ， 新 版 本 体现 在 RFC1247 文档 中 ， 称 为 OSPFv2， 版 本 2 在 稳定 性 和 功能 性 方面 做 
出 了 很 大 的 改进 。 现 在 IPv4 网 络 中 所 使 用 的 都 是 OSPFV2。 最 新 的 OSPFv2 说 明文 档 为 
RFC2328。 

OSPF 作为 基于 链 路 状态 的 协议 ， 上 有 具有 收敛 快 、 路 由 无 环 、 扩 展 性 好 等 优点 ， 被 快 
速 接受 并 广泛 使 用 。 链 路 状态 算法 路 由 协议 互相 通告 的 是 链 路 状态 信息 ， 每 台 路 由 器 都 
将 自己 的 链 路 状态 信息 〈 包 含 接口 的 卫 地 址 和 子 网 掩 码 、 网 络 类 型 、 该 链 路 的 开销 等 ) 
发 送 给 其 他 路 由 器 , 并 在 网 络 中 泛 洪 , 当 每 台 路 由 器 收集 到 网 络 内 所 有 链 路 状态 信息 后 ， 
就 能 拥有 整个 网 络 的 拓扑 情况 ， 然 后 根据 整 网 拓扑 情况 运行 SPF 算法 ， 得 出 所 有 网 段 的 
最 短路 径 。 

OSPF 支持 区 域 的 划分 ， 区 域 是 从 逻辑 上 将 路 由 器 划分 为 不 同 的 组 ， 每 个 组 用 区 域 
号 (Area ID) 来 标识 。 一 个 网 段 〈 链 路 ) 只 能 属于 一 个 区 域 ， 或 者 说 每 个 运行 OSPF 的 
接口 必须 指明 属于 哪 一 个 区 域 。 区 域 0 为 骨干 区 域 ， 骨 干 区 域 负责 在 非 骨 干 区 域 之 间 发 
布 区 域 间 的 路 由 信息 。 在 一 个 OSPF 区 域 中 有 且 只 有 一 个 骨干 区 域 。 


实验 目的 


e 掌握 OSPF 单 区 域 的 配置 方法 
e 理解 OSPF 单 区 域 的 应 用 场景 
e 掌握 查看 OSPF 邻居 状态 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 该 公司 有 三 大 办 公 区 ， 每 个 办 公 区 放置 了 一 台 路 由 
器 ，R1 放 在 办 公 区 A，A 区 经 理 的 PC-1 直接 连接 R1; R2 放 在 办 公 区 B，B 区 经 
理 的 PC-2 直接 连接 到 R2; R3 放 在 办 公 区 C，C 区 经 理 的 PC-3 直接 连接 到 R3; 3 
台 路 由 器 都 互相 直 连 ， 为 了 能 使 整个 公司 网 络 互 相通 信 ， 需 要 在 所 有 路由 器 上 部 署 
路 由 协议 。 考 虑 到 公司 未 来 的 发 展 (部门 的 增加 和 分 公司 的 成 立 )， 为 了 适应 不 断 扩 
展 的 网 络 的 需求 ， 公 司 在 所 有 路 由 器 上 部 署 OSPF 协议 ， 且 现在 所 有 路 由 器 都 属于 骨 
干 区 域 。 


实验 拓扑 
OSPF 单 区 域 配置 的 拓扑 如 图 8-1 所 示 。 








实验 编 址 
实验 编 址 见 表 8-1。 


二 


表 8-1 


一 一 一 ne ~ 
> 


ET 


R1 (AR2220) 
R2 (AR2220) 


R3 (AR2220) 


PC-1 
PC-2 
PC-3 


Eco 


| 


ds P= Sk 


谣 7 和 入 4 可 下 歼 | Fa > pr ee SF” 
Dd 过 | 后 zi a 
GE 0/0/0 172.16.10.1 255.255.255.0 
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Ethernet 0/0/1 


GE 0/0/2 


GE 0/0/0 


GE 0/0/0 


Ethernet 0/0/1 





Ethernet 0/0/1 


图 8-1 OSPF 单 区 域 配置 拓扑 
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N/A 
172.16.1.254 
172.16.2.254 
172.16.3.254 


244 HCNA 网 络 技术 实验 指南 


实验 步骤 

1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 


<R1>ping 172.16.20.3 
PING 172.16.20.3: 56 data bytes, press CTRL_C to break 
Reply from 172.16.20.3; bytes=56 Sequence=] ttl=255 time=20 ms 
Reply from 172.16.20.3: bytes=56 Sequence=2 ttl=255 time=20 ms 
Reply from 172.16.20.3: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 172.16.20.3: bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 172.16.20.3: bytes=56 Sequence=5 ttl=255 time=10 ms 一 一 J 
--- 172.16.20.3 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/14/20 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 部 署 单 区 域 OSPF 网 络 
首先 使 用 ospf 命令 创建 并 运行 OSPF。 
<R1l>system-view 
[Rl]Jospf 1 
其 中 ，1 代表 的 是 进程 号 ， 如 果 没 有 写 明 进程 号 ， 则 默认 是 1。 
接着 使 用 area 命令 创建 区 域 并 进入 OSPF 区 域 视图 ， 输 入 要 创建 的 区 域 ID。 由 于 
本 实验 为 OSPF 单 区 域 配置 ， 所 以 使 用 骨干 区 域 ， 即 区 域 0 即 可 。 
[Rl-ospf-1]area 0 
再 使 用 network 命令 来 指定 运行 OSPF 协议 的 接口 和 接口 所 属 的 区 域 。 本 实验 中 RI1 
上 的 3 个 物理 接口 都 需要 指定 。 配 置 中 需 注 意 ， 尽 量 精确 匹配 所 通告 的 网 段 。 
[Rl1-ospf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255 


[RI1-ospf-1-area-0.0.0.0]network 172.16.20.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 


配置 完成 后 使 用 display ospf interface 命令 检查 OSPF 接口 通告 是 否 正确 。 


[R1l]display ospf interface 
OSPF Process 1 with Router-ID172.16.1.254 
JInterfaces 

Area: 0.0.0.0 (MPLS TE not enabled) : 

IPAddress Type State Costi WPri -DR BDR 、 
172.,16,1.254 Broadcast DR 1 1 172.16.1.254 ”0.0.0.0 
172.16.10.1 Broadcast DR. 172.16.10.1 0.0.0.0 
172.16.20.1 Broadcast DR a 172.16,20,1 0.0.0.0 


可 以 观察 到 本 地 OSPF 进程 使 用 的 RouterID 是 172.16.1.254。 在 此 进程 下 有 3 个 
接口 加 入 了 OSPF 进程 。“Type” 为 以 太 网 默认 的 广播 网 络 类 型 ;“State” 为 该 接口 当前 
的 状态 ， 显 示 为 DR 状态 ， 即 表示 为 这 3 个 接口 在 它们 所 在 的 网 段 中 都 被 选举 为 DR。 

接 下 来 在 R2 和 R3 上 做 相应 配置 ， 配 置 方法 和 R1 相同 ， 不 再 装 述 。 


[R2]Jospf 1 
[R2-0spf-1]area 0 
[R2=0spf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255 
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3， 检查 OSPF 单 区 域 的 配置 结果 
以 R1 为 例 使 用 display ospf peer 命令 查看 OSPF 邻居 状态 。 


通过 这 条 命令 ， 可 以 查看 很 多 内 容 。 例 如 ， 通 过 Router-ID 可 以 查看 邻居 的 路 由 器 
标识 ;通过 Address 可 以 查看 邻居 的 OSPF 接口 IP 地 址 ; 通过 State 可 以 查看 目前 与 该 
路 由 器 的 OSPF 邻居 状态 ; 通过 Priority 可 以 查看 当前 该 邻居 OSPF 接口 的 DR 优先 级 等 。 

使 用 display ip routing-table protocol ospf 命令 查看 R1 上 的 OSPF 路 由 表 。 


通过 此 路 由 表 可 以 观察 到 ,“Destination/Mask” 标识 了 目的 网 段 的 前 组 及 掩 码 ， 
“Proto” 标 识 了 此 路 由 信息 是 通过 OSPF 协议 获取 的 ,“Pre” 标 识 了 路 由 优先 级 ， 
“Cost” 标 识 了 开销 值 ,“NextHop” 标 识 了 下 一 跳 地 址 ,“Interface” 标 识 了 此 前 绥 
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的 出 接口 。 

此 时 R1 的 路 由 表 中 已 经 拥有 了 去 往 网 络 中 所 有 其 他 网 段 的 路 由 条 目 。 用 同样 方法 
查看 R2 与 R3 的 OSPF 邻居 状态 。 

在 PC-1 上 使 用 ping 命令 测试 与 PC-3 间 的 连通 性 。 

PC>ping 172.16.3.1 


Ping 172.16.3.1: 32 data bytes, Press Ctrl_C to break 
From 172.16.3.1: bytes=32 seq=] ttl=126 time=31 ms 
From 172.16.3.1: bytes=32 seq=2 ttl=126 time=32 ms 
From 172.16.3.1: bytes=32 seq=3 ttl=126 time=15 ms 
From 172.16.3.1: bytes=32 seq=4 ttl=126 time=16 ms 
From 172.16.3.1: bytes=32 seq=5 ttl=126 time=16 ms 
-~-- 172.16.3,] ping statistics --- 

$ packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 15/22/32 ms 


通信 正常 ， 其 他 测试 省 略 。 
思考 
请 列举 链 路 状态 协议 与 距离 矢量 路 由 协议 的 相同 点 与 不 同 点 。 


8.2 OSPF 多 区 域 配 置 


原理 概述 


在 OSPF 单 区 域 中 ， 每 台 路 由 器 都 需要 收集 其 他 所 有 路 由 器 的 链 路 状态 信息 ， 如 果 
网 络 规模 不 断 扩 大 ， 链 路 状态 信息 也 会 随 之 不 断 增 多 ， 这 将 使 得 单 台 路 由 器 上 链 路 状态 
数据 库 非 常 庞大 ， 导 致 路 由 器 负担 加 重 ， 也 不 便于 维护 管理 。 为 了 解决 上 述 问题 ， OSPF 
协议 可 以 将 整个 自治 系统 划分 为 不 同 的 区 域 (Area)， 就 像 一 个 国家 的 国土 面积 很 大 时 ， 
会 把 整个 国家 划分 为 不 同 的 省 份 来 管理 一 样 。 

链 路 状态 信息 只 在 区 域内 部 泛 洪 ， 区 域 之 间 传 递 的 只 是 路 由 条 目 而 非 链 路 状态 信 
息 ， 因 此 大 大 减 小 了 路 由 器 的 负担 。 当 一 台 路 由 器 的 接口 〈 链 路 ) 属于 不 同 区 域 时 称 它 
为 区 域 边界 路 由 器 (Area Border Router，ABR)， 负 责 传 递 区 域 间 路 由 信息 。 区 域 间 的 路 
由 信息 传递 类 似 距 离 矢 量 算 法 ， 为 了 防止 区 域 间 产生 环 路 ， 所 有 非 骨干 区 域 之 间 的 路 由 
信息 必须 经 过 骨干 区 域 ， 也 就 是 说 非 骨干 区 域 必须 和 骨干 区 域 相连 ， 且 非 骨干 区 域 之 间 
不 能 直接 进行 路 由 信息 交互 。 


实验 目的 


。 理解 配置 OSPF 多 区 域 的 使 用 场景 
e 掌握 配置 OSPF 多 区 域 的 方法 
。 理解 OSPF 区 域 边界 路 由 器 (ABR) 的 工作 特点 
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实验 内 容 


本 实验 模拟 企业 网 络 场景 。R1、R2、R3、R4 为 企业 总 部 核心 区 域 设 备 ， 属 于 区 域 
0，R5 属于 新 增 分 支 机 构 A 的 网 关 设 备 ，R6 属于 新 增 分 支 机 构 B 的 网 关 设 备 。PC-1 和 
PC-2 分 别 属于 分 支 机 构 A 和 B, PC-3 和 PC-4 属于 总 部 管理 员 登 录 设 备 , 用 于 管理 网 络 。 

在 该 网 络 中 , 如 果 设 计 方 案 采 用 单 区 域 配置 , 则 会 导致 单一 区 域 LSA 数目 过 于 庞大 ， 
导致 路 由 器 开销 过 高 ，SPF 算法 运算 过 于 频繁 。 因 此 网 络 管理 员 选 择 配置 多 区 域 方案 进 
行 网 络 配置 ， 将 两 个 新 分 支 运行 在 不 同 的 OSPF 区 域 中 ， 其 中 R5 属于 区 域 1，R6 属于 
区 域 2。 


实验 拓扑 


OSPF 多 区 域 配置 拓扑 如 图 8-2 所 示 。 





Ethernet 4/0/0 


Ethernet 0/0/1 


Ethernet 4/0/0 


Ethernet 0/0/1 


PC-3 PC-4 
图 8-2” OSPF 多 区 域 配置 拓扑 












实验 编 址 


实验 编 址 见 表 8-2。 
表 8-2 实验 编 址 


设备 | 。” 柜 昌 ”| PP 地 址 ”| 于 网 六 码 | 






















10.0.1.254 

10.0.2.254 
10.0.3.254 
10.0.4.254 


7 入， IP 
PC-1 | Ethemetooll | 100.11 | 255.255.2550 | 
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〈 续 表 ) 


设备 默认 网 关 
N/A 

R1 (AR2240) N/A 
N/A 
一 10.0.12.2 | 255.255.255.0 | N/A 

R2 (AR2240) GE 0/0/1 10.0.24.2 N/A 
N/A 

N/A 

a NA 
N/A 

NA 

N/A 

ce NA 
N/A 

N/A 

255.255.255.0 N/A 

RS (AR2240) N/A 
255.255.255.0 N/A 

N/A 

R6 (AR2240) N/A 
N/A 








实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
<R1l>ping 10.0.15.5 


PING 10.0.15.5: 56 data bytes, press CTRL_C to break 

Reply from 10.0.15.5: bytes=56 Sequence=] ttl=255 time=210 ms 

Reply from 10.0.15.5: bytes=56 Sequence=2 ttl=255 time=60 ms 

Reply from 10.0.15.5; bytes=56 Sequence=3 ttl=255 time=60 ms 

Reply from 10.0.15.5: bytes=56 Sequence=4 ttl=255 time=30 ms 

Reply from 10.0.15.5: bytes=56 Sequence=5 ttl=255 time=30 ms 

-一 10.0.15.5 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 30/78/210 ms 

测试 通过 ， 其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 配置 骨干 区 域 路 由 器 

在 公司 总 部 路 由 器 R1、R2、R3、R4 上 创建 OSPF 进程 ， 并 在 骨干 区 域 0 视图 下 通 
告 总 部 各 网 段 。 

Rillospf1l 

[Rl-ospf-l]area 0 

[RI1-ospf-1-area-0.0.0.0Jnetwork 10.0.12.0 0.0.0.255 

[Rl-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 
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配置 完成 后 ， 测 试 总 部 内 两 台 PC 间 的 连通 性 。 


已 经 可 以 正常 通信 ， 骨 干 区 域 路 由 器 配置 完成 。 

3. 配置 非 骨干 区 域 路 由 器 

在 分 支 A 的 路 由 器 R5 上 创建 OSPF 进程 ， 创 建 并 进入 区 域 1， 并 通告 分 支 A 的 相 
应 网 段 。 


“在 RI 和 R3 上 也 创建 并 进入 区 域 1 视图 ， 将 与 R5 相连 的 接口 进行 通告。 


配置 完成 后 ， 查 看 OSPF 邻居 状态 。 
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State: Full Mode:Nbris Slave Priority: 1 

DR: 10.0.15.5 BDR: 10.0.15.1 MTU:0 

Deadtimer due in34 3s 

Retrans timer interval: 5 

Neighbor is up for 00:07:46 

Authentication Sequence: [0 ] 

Neighbors 

Area 0.0.0.1 interface 10.0.35.5(GigabitEthernet0/0/1)'s neighbors 
Router-ID: 10.0.34.3 Address: 10.0.35.3 

State: Full Mode:Nbris Master Priority: 1 

DR: 10.0.35.5 BDR: 10.0.35.3 MTU:0 

Deadtimer due in 36 S 

Retrans timer interval: 5 

Neighbor is up for 00:05:33 E 
Authentication Sequence: [0] > 


可 以 观察 到 ， 现 在 R5 与 Rl 和 R3 的 OSPF 邻居 关系 建立 正常 ， 都 为 Full 状态 。 
使 用 display ip routing-table protocol ospf 命 令 查 看 R5 路 由 表 中 的 OSPF 路 由 条 目 。 


[RS]display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table ; OSPF 


Destinations ; 6 Routes :8 

OSPF routing table status : <Active> 

Destinations : 6 Routes: 8 

Destination/Mask Proto Pre Cost Flags NextHop Interface ~ 

10.0.3.0/24 OSPF 10 2 D 10.0.35.3 GigabitEthernet0/0/1 

10.0.4.0/24 OSPF 10 D 10.0.35.3 GigabitEthernet0/0/1 

10.0.12.0/24 OSPF 10 2 D 10.0.15.1 GigabitEthernet0/0/0 

10.0.13.0/24 OSPF 10 2 D 10.0.15.1 GigabitEthernet0/0/0 
OSPF 10 2 D 10.0.35.3 GigabitEthernetO/0/1 

10.0.24.0/24 OSPF 10 3 5 10.0.15.1 GigabitEthernet0/0/0 
OSPF 10 3 D 10.0.35.3 GigabitEthernet0/0/1 

10.0.34.0/24 OSPF 10 2 D 10.0.35.3 GigabitEthernet0/0/1 

OSPF routing table status : <Inactive> 

Destinations : 0 Routes:0 


可 以 观察 到 ， 除 OSPF 区 域 2 内 的 路 由 外 ， 相 关 OSPF 路 由 条 目 都 已 经 获得 。 在 拓 
扑 中 ,Rl 和 R3 这 两 台 连 接 不 同 区 域 的 路 由 器 称 为 ABR， 即 区 域 边 界 路 由 器 ， 该 类 路 由 
器 设备 可 以 同时 属于 两 个 以 上 的 区 域 , 但 其 中 至 少 一 个 端口 必须 在 骨干 区 域内 。ABR 是 
用 来 连接 骨干 区 域 和 非 骨干 区 域 的 ， 其 与 骨干 区 域 之 间 既 可 以 是 物理 连接 ， 也 可 以 是 逻 
辑 上 的 连接 。 

使 用 display ospf lsdb 命令 查看 R5 的 OSPF 链 路 状态 数据 库 信息 。 


<R5>display ospf lsdb 

OSPF Process 1 with Router-ID 10.0.15.5 

Link State Database 
Area: 0.0.0.1 

Type LinkState ID AdvRouter Age Len Sequence Metric Ts 
Router 10.0.12.1 10.0.12.1 1151 36 80000007 1 

Router 10.0.34.3 10.0.34.3 1140 -36 80000007 1 

Ronuter 10.0.15.5 10.0.15.5 1124 60 8000000C 1 

Network 10.0.35.3 10.0.34.3 1140 32 80000004 0 

Network 10.0.15.5 10.0.15.5 1145 32 80000005 0 

Sum-Net 10.0.34.0 10.0.34.3 1137 28 80000005 1 
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Sum-Net 10.0.34.0 10.0.12.1 S95 28 80000001 2 
Sum-Net 10.0.13.0 10.0.12.1 1168 28 80000004 
Sum-Net 10.0.13.0 10.0.34.3 1181 28 80000004 1 
Sum-Net 10.0.12.0 10.0.12.1 1180 28 80000004 1 
Sum-Net 10.0.12.0 10.0.34.3 ST6u 2% 80000001 2 
Sum-Net 10.0.3.0 10.0.34.3 1179 28 80000004 1 
Sum-Net 10.0.3.0 10.0.12.1 L252 80000004 


可 以 观察 到 ， 关于 其 他 区 域 的 路 由 条 目 都 是 通过 “Sum-Net” 这 类 LSA 获得 ， 而 这 
类 LSA 是 不 参与 本 区 域 的 SPF 算法 运算 的 。 
对 公司 男 一 分 部 B 的 路 由 器 R6， 和 相应 ABR 设备 R2、R4 也 做 同样 的 配置 
[R6lospf 1 
[R6-ospf-llarea 2 
[R6-0spf-1-area-0.0,0.2]network 10.0.26.0 0.0.0.255 


[R6-osp 人 1-area-0.0.0.2]network 10.0.46.0 0.0.0.255 
[R6-ospf-1-area-0.0.0.2]network 10.0.2.0 0.0.0.255 


[R2]ospf 1 
[R2-0spf-1]area 2 
[R2-ospf-1-area-0.0.0.2]network 10.0.26.0 0.0.0.255 


[R4lospf 1 
[R4-ospf-1]area 2 
[R4-0spf-1-area-0.0.0.2]network 10.0.46.0 0.0.0.255 


配置 完成 ， 查 看 R6 的 OSPF 路 由 条 目 。 


<R6>display ip routing-table protocol ospf 
Route Flags; R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 9 Routes : 12 

OSPF routing table status : <Active> 

Destinations : 8 Routes : 11 

Destination/Mask Proto Pre Cost Flags. NextHop Interface 

10.0.1.0/24 OSPF 10 4 D 10.0.46.4 GigabitEthernet0/0/1 
OSPF 10 四 D 10.0.26.2 GigabitEthernet0/0/0 

10.0.3.0/24 OSPF 10 3 D 10.0.46.4 GigabitEthernet0/0/1 

10.0.12.0/24 OSPF 10 2 D 10.0.26.2 GigabitEthernet0/0/0 

10.0.13.0/24 OSPF 10 3 D 10.0.46.4 GigabitEthernet0/0/1 
OSPF 10 3 D 10.0.26.2 GigabitEthernet0/0/0 

10.0.15.0/24 OSPF 10 1 D 10.0.26.2 GigabitEthernet0/0/0 

10.0.24.0/24 OSPF 10 3 D 10.0.26.2 GigabitEthermet0/0/0 
OSPF 10 2 D 10.0.46.4 CGigabitEthernet0/0/1 

10.0.34.0/24 OSPF 10 2 D 10.0.46.4 GigabitEthernet0/0/1 

10.0.35.0/24 OSPF 10 了 D 10.0.46.4 GigabitEthermnet0/0/1 

OSPF routing table status : <Inactive> 

Destinations : 1 Routes: 1 


观察 到 可 以 正常 接收 到 所 有 OSPF 路 由 信息 。 
测试 分 支 A 和 分 支 B 的 PC-1 和 PC-2 连通 性 。 
PC>ping 10.0,2.1 

Ping 10.0.2.1: 32 data bytes, Press CtrlL_C to break 

From 10.0.2.1: bytes=32 seq=1 ttl=124 time=32 ms 


From 10.0.2.1: bytes=32 seq=2 ttl=124 time=47 ms 
From 10.0.2.1: bytes=32 seq=3 ttl=124 time=31 ms 
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From 10.0.2.1: bytes=32 seq=4 ttl=124 time=31 ms 

From 10,0.2.1; bytes=32 seq=5 ttl=124 time=31 ms 

~- 10.0.2.1 ping statistics 一 

5 packet(s) transmitted 

S packet(s) received FE 
0.00% packet loss 

round-trip min/avg/max = 31/34/47 ms 

可 以 观察 到 ， 现 在 通信 正常 。 至 此 ，OSPF 多 区 域 配置 完成 。 


思考 


在 本 实验 中 ， 如 果 现 在 公司 总 部 配置 的 区 域 不 是 骨干 区 域 0， 而 是 其 他 非 骨 干 区 域 ， 
会 出 现 什么 现象 ? 


8.3 配置 OSPF 的 认证 


原理 概述 


OSPF 支持 报 文 验证 功能 ， 只 有 通过 验证 的 报 文才 能 接收 ， 否 则 将 不 能 正常 建立 邻 
居 关 系 。OSPF 协议 支持 两 种 认证 方式 一 一 区 域 认证 和 链 路 认证 。 使 用 区 域 认证 时 ,一 
个 区 域 中 所 有 的 路 由 器 在 该 区 域 下 的 认证 模式 和 口令 必须 一 致 ，OSPF 链 路 认证 相 比 于 
区 域 认证 更 加 灵活 ， 可 专门 针对 某 个 邻居 设置 单独 的 认证 模式 和 密码 。 如 果 同 时 配置 了 
接口 认证 和 区 域 认 证 时 ， 优 先 使 用 接口 认证 建立 OSPF 邻居 。 

每 种 认证 方式 又 分 为 简单 验证 模式 、MD5 验证 模式 和 Key chain 验证 模式 。 简 单 验 
证 模式 在 数据 传递 过 程 中 ， 认 证 密 钥 和 密 钥 ID 都 是 明文 传输 ， 很 容易 被 截获 ，MD5 验 
证 模式 下 的 密 钥 是 经 过 MD5 加 密 传输 ， 相 比 于 简单 验证 模式 更 为 安全 ; Key chain 验证 
模式 可 以 同时 配置 多 个 密 钥 ， 不 同 密 钥 可 单独 设置 生效 周期 等 。 


实验 目的 


。 理解 OSPF 认证 的 应 用 场景 

。 理解 OSPF 区 域 认 证 和 链 路 认证 的 区 别 
。 掌握 配置 OSPF 区 域 认 证 的 方法 

。 掌握 配置 OSPF 链 路 认证 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 环境 。R3、R5、R6 属于 公司 总 部 骨干 区 域 路 由 器 , R2 为 ABR。 
公司 分 部 路 由 器 R1 和 R4 都 属于 区 域 1， 但 分 属 不 通 部 门 ，R1 作为 市 场 部 门 网 关 ，R4 
作为 财务 部 门 网 关 。 网 络 管理 员 在 区 域 0 和 区 域 1 上 配置 OSPF 区 域 认 证 ， 其 中 区 域 0 
开启 密 文 认证 ， 区 域 1 开启 明文 认证 。 为 进一步 提高 该 OSPF 网 络 安全 性 ，R2 和 R4 上 
单独 设置 密 钥 ， 配 置 OSPF 链 路 认证 。 
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实验 拓扑 
配置 OSPF 的 认证 拓扑 如 图 8-3 所 示 。 













GE 0/0/0 


GE 0/0/0 





GE 0/0/1 


GE 0/0/0 


图 8-3 配置 OSPF 的 认证 拓扑 


实验 编 址 
实验 编 址 见 表 8-3。 
表 8-3 实验 编 址 
设备 |] 接 D |]  'P 地 址 ”| 于 网 按 码 ”|] ”默认 网 关 
Loopback0 | 11l1ll | 255.255.255.255 N/A 
ee oo | 
GE 0/0/0 10.0.12.1 255.255.255.0 N/A 
Loopback0 2.2.2.2 255.255.255.255 N/A 
et GE 0/0/0 10.0.12.2 255.255.255.0 N/A 
GE 0/0/1 10.0.24.2 255.255.255.0 N/A 
GE 0/0/2 10.0.23.2 255.255.255.0 N/A 
Loopback0 3.3.3.3 255.255.255.255 N/A 
a GE 0/0/0 10.0.35.3 255.255.255.0 N/A 
GE 0/0/1 10.0.36.3 255.255.255.0 N/A 
GE 0/0/2 10.0.23.3 255.255.255.0 N/A 
i Loopback0 4.4.4.4 255.255.255.255 N/A 
GE 0/0/0 10.0.24.4 255.255.255.0 N/A 
gy Loopback0 5555 255.255.255.255 N/A 
GE 0/0/0 10.0.35.5 255.255.255.0 N/A 
es Loopback0 6.6.6.6 255.255.255.255 N/A 
GE 0/0/0 10.0.36.6 255.255.255.0 N/A 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
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<R1>ping 10.0.12.2 

PING 10.0.12.2: 56 data bytes, press CTRL_C to break 

Reply from 10.0.12.2: bytes=56 Sequence=1 ttl=255 time=120 ms 
Reply from 10.0.12,2; bytes=56 Sequence=2 ttl=255 time=90 ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=60 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=30 ms 
--- 10.0.12.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 30/68/120 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
在 公司 总 部 和 分 部 各 人 台 路 由 器 上 进行 相关 OSPF 多 区 域 配 置 。 


[Rllospf 1 

[Rl-ospf-llarea 1 

1-osp 人 1-area-0.0.0.1]network 10.0.12.0 0.0.0,255 
[R1-ospf-1-area-0.0.0.1]jaetwork 1.1.1.1 0.0.0.0 


[R2]ospf 1 

[R2-0spf-1]area 0 

[R2-0spf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R2-osp 人 1-area-0.0.0.0jnetwork 2.2.2.2 0.0.0.0 
[R2-0spf-1]area 1 

[R2-0spf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.1]network 10.0.24.0 G:0.0.255 


[R3]ospf 1 

[R3-ospf-ljarea0 

[R3-ospf-1-area-0.0.0.0]jnetwork 10.0.23.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0]jnetwork 10.0.35.0 0.0.0.255 
[R3-osp 人 -1-area-0.0.0.0jnetwork 10.0.36.0 0.0.0.255 
[R3-0ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 


[R4]ospf 1 

[R4-o0spf-1]area 1 

[R4-osp 企 1-area-0.0.0.1]network 10.0.24.0 0.0.0.255 
[R4-ospf-1-area-0.0.0.1jnetwork 4.4.4.4 0.0.0.0 


[RS]ospf 1 

[RS-ospf-ljarea0 

[R5-ospf-1-area-0.0.0.0Jnetwork 10.0.35.0 0.0.0.255 
[R5-ospf-1-area-0.0,0.0]network 5.5.5.5 0.0.0.0 


[R6]ospf 1 

[R6-0spf-1]area 0 

[R6-osp 人 -1-area-0.0.0.0]network 10.0.36.0 0.0.0.255 > 
[R6-0spf-1-area-0.0.0.0]network 6.6.6.6 0.0.0.0 


其 中 每 台 设备 上 的 环 回 口 地 址 是 为 了 后 续 实 验 中 方便 测试 使 用 ， 所 以 需要 通告 到 其 
所 在 区 域 。 
配置 完成 后 测试 各 设备 上 环 回 口 的 连通 性 。 
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<R1l>ping 6.6.6.6 
PING 6.6.6.6: 56 data bytes, press CTRL C to break 
Reply from 6.6.6.6: bytes=56 Sequence=1 ttl=252 time=30 ms 
Reply from 6.6.6.6: bytes=56 Sequence=2 ttl=252 time=30 ms 
Reply from 6.6.6.6: bytes=56 Sequence=3 ttl=252 time=40 ms 
Reply from 6.6.6.6: bytes=56 Sequence=4 ttl=252 time=30 ms 
Reply from 6.6.6.6: bytes=56 Sequence=5 ttl=252 time=30 ms 
-一 6.66.6 ping statistics 一 - 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/32/40 ms 
可 以 正常 通信 ， 其 他 环 回 口 的 测试 省 略 。 
3. 配置 公司 分 部 OSPF 区 域 明文 认证 
网 络 管理 员 在 公司 分 部 的 OSPF 区 域 1 中 配置 区 域 明文 认证 。 
在 Rl1 上 OSPF 的 区 域 1 视图 下 使 用 authentication-mode 命令 指定 该 区 域 使 用 认证 
模式 为 simple， 即 简单 验证 模式 ， 配 置 口令 为 huaweil， 并 配置 plain 参数 。 
配置 plain 参数 后 ， 可 以 使 得 在 查看 配置 文件 时 ， 口 令 均 以 明文 方式 显示 。 如 果 不 
设置 该 参数 的 话 ， 在 查看 配置 文件 时 ， 默 认 会 以 密 文 方式 显示 口令 ， 即 无 法 查看 到 所 配 
置 的 口令 原文 ， 这 可 以 使 非 管理 员 用 户 在 登录 设备 后 无 法 查看 到 口令 原文 ， 从 而 提高 安 
全 性 o 
[Rl]jospf 1 
[R1-ospf-1]area 1 
[Rl1-ospf-1-area-0.0.0.1]authentication-mode simple plain huaweil 
[R1-ospf-1-area-0.0.0.1]display this 
[V200R003C00] 
# 
area 0.0.0.1 
authentication-mode simple plain huaweil 
network 1.1.1.1 0.0.0:0 
network 10.0.12.0 0.0.0.255 
# 
Return 
可 以 观察 到 ， 此 时 以 明文 方式 显示 口令 。 
在 R1 上 重新 配置 区 域 认 证 命令 ， 并 碍 看 配置 。 
[R1-ospf-1 -area-0.0.0.1]authenticatioiiciiode simple huaweil 
[R1-ospf-1-area-0.0.0.1]display this 
[V200R003C00] 
入 
area 0.0.0.1 
authentication-mode simple cipher %$9%6$PUV9Ac}_uERifpO}IAOJN<+@o%3S%9 
network 1.1.1.1 0.0.0.0 
network 10.0.12.0 0.0.0.255 
四 
Return 
可 以 观察 到 ， 默 认 情 况 下 ， 口 令 以 密 文 形式 显示 。 
配置 完成 ， 等 待 OSPF 网 络 收敛 之 后 ， 查 看 R1 与 R2 的 OSPF 邻居 。 


<R1l>display ospf peer brief 
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可 以 观察 到 , 现在 R1 与 R2 邻居 关系 中 断 了 , 原因 是 目前 仅仅 在 R1 上 配置 了 认证 ， 
导致 R1 和 R2 间 的 OSPF 认证 不 匹配 。 
继续 配置 该 区 域 的 另 一 台 设 备 R2， 必 须要 保证 验证 模式 一 致 ， 口 令 也 一 致 。 


配置 完成 后 ， 等 待 一 段 时 间 ， 再 次 观察 两 者 的 邻居 关系 。 


可 以 观察 到 ， 现 在 R1 与 R2 的 邻居 关系 状态 恢复 正常 。 
同 理 在 R4 上 也 做 相同 配置 。 


配置 完成 后 ， 在 R2 上 查看 OSPF 邻居 关系 。 


可 以 观察 到 ， 现 在 区 域 1 中 的 邻居 关系 都 建立 正常 。 

4. 配置 公司 总 部 OSPF 区 域 密 文 认证 

根据 设计 ， 网 络 管理 员 在 公司 总 部 OSPF 区 域 0 中 配置 区 域 密 文 认 证 。 

在 R2 上 配置 OSPF Area 0 区 域 认证 ,使 用 验证 模式 为 md5， 四 MD35 验证 模式 ， 验 
证 字 标 识 符 为 1， 配置 口令 为 huawei3 。 


继续 在 其 他 骨干 路 由 器 上 做 相同 配置 。 注 意 ， 密 文 认证 必须 保证 验证 字 标 识 符 和 口 
令 完全 一 致 认证 才 可 以 通过 。 
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[R5]ospf 1 
[R5-ospf-1]area 0 
[R5-ospf-1-area-0.0.0.0]Jauthentication-mode md5 1 huawei3 


[R6]Jospf 1 
[R6-ospf-1]area 0 < 
[R6-0spf-1-area-0.0.0.0Jauthentication-mode md5 1 huawei3 


配置 完成 后 ， 查 看 R3 的 OSPF 邻居 状态 。 


<R3>display ospfpeer brief 


OSPF Process 1 with Router-ID 10.0.23.3 


Peer Statistic Information 
Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernetO/0/2 10.0.122 Full 
0.0.0.0 GigabitEthernet0/0/0 10.0.35.5 Full 
0.0.0.0 GigabitEthernetO/O/1 10.0.36.6 Full 


可 以 观察 到 ，OSPF 邻居 状态 建立 正常 ， 其 他 设备 上 的 查看 过 程 省 略 。 

5， 配 置 OSPF 链 路 认证 

在 上 面 两 个 步骤 中 ， 使 用 了 OSPF 的 区 域 认 证 方式 配置 了 OSPF 认证 ， 使 用 链 路 认 
证 方式 配置 可 以 达到 同样 的 效果 。 如 果 采 用 链 路 认证 的 方式 ， 就 需要 在 同一 OSPF 的 链 
路 接口 下 都 配置 链 路 认证 的 命令 ， 设 置 验证 模式 和 口令 等 参数 ;而 采用 区 域 认证 的 方式 
时 ， 在 同一 区 域 中 ， 仅 需 在 OSPF 进程 下 的 相应 区 域 视图 下 配置 一 条 命令 来 设置 验证 模 
式 和 口令 即 可 ， 大 大 节省 了 配置 量 ， 所 以 在 同一 区 域 中 如 果 有 多 台 OSPF 设备 需要 配置 
认证 ， 建 议 选用 区 域 认 证 的 方式 进行 配置 。 

目前 公司 分 部 的 OSPF 区 域 中 配置 了 简单 模式 的 区 域 认 证 ， 为 了 进一步 提升 R2 与 
R4 之 间 的 OSPF 网 络 安全 性 ， 网 络 管理 员 需 要 在 两 台 设 备 之 间 部 署 MD5 验证 模式 的 
OSPF 链 路 认证 。 

在 R2 的 GE 0/0/1 接口 下 使 用 ospf authentication-mode 命令 配置 链 路 认证 ， 配 置 使 
用 MD5 验证 模式 ， 验 证 字 标 识 符 为 1， 口令 为 huawei5。 

[R2]interface GigabitEthernet 0/0/1 

[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5 

配置 完成 后 ， 等 待 一 段 时 间 ， 查 看 R2 上 的 简要 OSPF 邻居 信息 。 


[R2]display ospf peer brief 
OSPF Process 1 with Router-ID 10.0.12.2 
Peer Statistic Information 
Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/2 10.0.23.3 Full 
0.0.0.1 GigabitEthemet0/0/0 10.0.12.1 Full 


发 现 R2 与 R4 间 的 OSPF 邻居 关系 已 经 消失 。 虽 然 已 经 配置 好 区 域 认证 , 但 是 如 果 
同时 配置 了 接口 认证 和 区 域 认证 时 ， 会 优先 使 用 接口 验证 建立 OSPF 邻居 。 所 以 R4 在 
没有 配置 链 路 认证 之 前 ，R2 与 R4 的 邻居 关系 会 因 认 证 不 匹配 而 无 法 建立 。 

同样 在 R4 上 配置 链 路 ， 注 意 ， 验 证 模式 、 标 识 符 、 口 令 都 需要 保持 一 致 。 
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届时 成 后 等 和 一段 时 间 ， 再 次 相 丰 R4 的 OSPF 久居 信息 


可 以 观察 到 ， 邻 居 关 系 已 经 恢复 正常 。 至 此 ，OSPF 链 路 认证 配置 完成 。 。 
思考 / 
OSPF 认证 如 果 采 用 MD5 验证 模式 ， 有 没有 办 法 可 以 获取 其 密 钥 内 容 ? 


8.4 ”OSPF 被 动 接口 配置 


原理 概述 


OSPF 被 动 接口 也 称 抑制 接口 ， 成 为 被 动 接口 后 ， 将 不 会 接收 和 发 送 OSPF 报 文 。 
如 果 要 使 OSPF 路 由 信息 不 被 某 一 网 络 中 的 路 由 器 获得 且 使 本 地 路 由 器 不 接收 网 络 
中 其 他 路 由 器 发 布 的 路 由 更 新 信息 , 即 已 运行 在 OSPF 协议 进程 中 的 接口 不 与 本 链 路 
上 其 余 路 由 器 建立 邻居 关系 时 ， 可 通过 配置 被 动 接口 来 禁止 此 接口 接收 和 发 送 OSPF 
报 文 。 


实验 目的 


。 理解 OSPF 被 动 接 口 的 应 用 场景 
。 掌握 OSPF 被 动 接口 的 配置 方法 
e 理解 OSPF 被 动 接口 的 作用 原理 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 有 路 由 器 RI、R2、R4 与 R5 分 属 不 同 部 门 的 网 关 设 备 ， 
每 台 设 备 都 连接 着 各 部 门 的 员工 终端 ， 公 司 整 网 运行 OSPF 协议 ， 并 都 处 于 区 域 0 中 。 
员工 终端 上 经 常 收 到 路 由 器 发 送 的 OSPF 数据 报 文 ， 而 该 报 文 对 终端 而 言 毫 无 用 处 ， 还 
占用 了 一 定 的 链 路 带宽 资源 , 并 有 可 能 引起 安全 风险 , 比如 非法 接 入 路 由 器 做 路 由 欺骗 。 
现 通 告 配置 被 动 接口 来 实现 阻隔 OSPF 报 文 ， 优 化 公司 网 络 。 


实验 拓扑 
OSPF 的 被 动 接口 拓扑 如 图 8-4 所 示 。 


W031 RI re sl 











Ethernet 0/0/1 
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GE 0/0/1 


GE 0/0/1 GE 0/0/0 


GE 0/0/2 


Ethernet 0/0/1 


Ethernet 0/0/2 









GE 0/0/0 


ES GE 0/0/1 4 GE 0/0/1 
pc | 
8-4 ”OSPF 的 被 动 接口 拓扑 
实验 编 址 
实验 编 址 见 表 8-4。 
表 8-4 






时 
PC-1 
PC-2 
PC-3 
PC-4 


R1 (AR2220) 


R2 (AR2220) 
R3 (AR2220) 


R4 (AR2220) 


R5 (AR2220) 


NT Pw us a 
Ethemet 0/O/1 | 10011 | 255.255.255.0 


实验 编 址 












人 


Gi 


259 










10.0.1.254 
10.0.2.254 
10.0.3.254 
10.0.4.254 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
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实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
<R1>ping 10.0.3.1 


PING 10.0.3.1: 56 data bytes, “ press CTRL C to break 
Reply from 10.0.3.1: bytes=56 Sequence=1 ttl=128 time=30 ms 
Reply from 10.0,3,1: bytes=56 Sequence=2 tt=128 time=10 ms 
Reply from 10.0.3.1: bytes=56 Sequence=3 ttj=128 time=l ms 
Reply from 10.0.3.1: bytes=56 Sequence=4 ttl=128 time=1 ms 
Reply from 10.0.3.1: bytes=56 Sequence=5 ttl=128 tme=10 ms 
一 10.0.3.1 ping statistics -一 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 1/10/30 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2， 搭建 OSPF 网 络 
配置 基本 的 OSPF， 所 有 路 由 器 的 接口 都 运行 在 区 域 0 内。 


[Rllospf 1 

[Rl-ospf-1]Jarea 0 

[RI-osp 人 1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.0Jnetwork 10.0.3.0 0.0.0.255 


[R2]ospf 1 

[R2-ospf-1]area 0 

[R2-ospf-1-area-0.0.0.0]jnetwork 10.0.4.0 0.0.0.255 
[R2-osp 他 1-area-0.0.0.0]jnetwork 10.0.23.0 0.0.0.255S 


[R3]ospf 1 

[R3-ospf-1]area 0 

[R3-ospf-1-area-0.0.0.0jnetwork 10.0,13.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0]jnetwork 10.0.23.0 0.0.0.255 
[R3-ospf-1-area-0.0.0.0jnetwork 10.0.30.0 0.0.0.255 


[R4Jospf 1 

[R4-osp 人 1]area0 

[R4-osp 人 1-area-0.0.0.0]network 10.0.30.0 0.0.0.255 
[R4-osp 人 1-area-0.0.0.0jnetwork 10.0.1.0 0.0.0.255 


[RS]ospf 1 

[RS5-ospf-l]area0 

[R5-ospf-1-area-0.0.0.0Inetwork 10.0.30.0 0.0.0.255 

[R5-0spf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255 

配置 完成 之 后 ,在 PC 上 测试 各 网 段 间 的 连通 性 ， 以 PC-3 与 PC-4 间 的 连通 性 为 例 。 
PC>ping 10.0.4.1 -一 
Ping 10.0.4.1: 32 data bytes， Press Ctrl_C to break 

From 10.0.4.1: bytes=32 seq=1l ttl=125 time=16 ms 

From 10.0.4.1: bytes=32 seq=2 ttl=125 time=16 ms 

From 10.0.4.1: bytes=32 seq=3 ttl=125 time=15 ms 

From 10.0.4.1: bytes=32 seq=4 ttl=125 time=32 ms 

From 10.0.4.1: bytes=32 seq=5 ttl=125 time=15 ms 
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-一 10.0.4.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 15/18/32 ms 

可 以 观察 到 ， 通 信 正 常 建立 ， 其 他 测试 省 略 。 
在 PC-1 的 接口 E 0/0/1 上 抓 包 ， 如 图 8-5 所 示 。 


13 54.234000 10.0.1.254 224.0.0.5 DOSPF Hello Packet 
14 63-719000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
15 73. 219000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
16 82.703000 10.0.1.254 224.0.0.5 OsPF Hello Packet 
17 92.203000 10.0.1.254 224.0.0.5 OspF Hello packet 
18 101.703000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
19 111.187000 10.0.1.254 224.0.0.5 OsPF Hello PackeT 
20 120.687000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
21 130.187000 10.0.1.254 224.0.0.5 OsPF Hello packet 
图 8-5 抓 包 观 察 


发 现 该 PC 所 在 部 门 的 网 关 路 由 器 R4 在 不 停 地 向 这 条 线路 发 出 OSPF 的 Hello 报 
文 尝试 发 现 邻居 ， 而 对 于 PC 而 言 ， 该 报 文 是 毫 无 用 处 的 ， 同 时 也 是 不 安全 的 。 在 
OSPF 的 Hello 报 文中 含有 很 多 OSPF 网 络 的 重要 信息 ， 如 果 被 恶意 截取 ， 容 易 出 现 
安全 隐患 。 

3. 配置 被 动 接口 

现在 网 络 管理 员 通过 配置 被 动 接口 来 优化 连接 终端 的 网 络 ， 使 终端 不 再 收 到 任何 
OSPF 报 文 。 

在 R4 的 OSPF 进程 中 ， 使 用 silent-interface 命令 禁止 接口 接收 和 发 送 OSPF 报 文 。 


[R4Jospf 1 
[R4-ospf-1]silent-interface GigabitEthernet 0/0/1 
配置 完成 后 ， 再 次 观察 抓 包 结 果 ， 如 图 8-6 所 示 。 





4 27.422000 10.0.1.254 224.0.0.5 OSI qed os packet 
5 36.594000 10.0.1.254 224.0.0.5 osPF Hello Packet 
6 37.797000 10.0.1.254 224.0.0.5 OSPF Hello packet 
8 117.797000 HuaweiTe_cf:43:01 Broadcast ARP 0 has 10.0， 


9 117.891000 HuaweiTe_03:5e:38 HuaweiTe_cf:43:01 ARP 10.0.1.254 1: 





图 8-6 ” 抓 包 观 察 


发 现 OSPF 的 报 文 在 Time 为 47 时 间 之 后 已 经 不 再 周期 性 发 送 任 何 OSPF 的 Hello 
报 文 。 

如 果 R4 上 有 多 个 接口 需要 设置 为 被 动 接口 ， 只 有 GE 0/0/1 接口 保持 活动 状态 ， 可 
以 通过 以 下 命令 简化 配置 。 

[R4]ospf1 

[R4-ospf-1]silent-interface all 

[R4-ospf-iJundo silent-interface GigabitEthernet 0/0/1 ' 

这 两 种 方法 都 可 以 将 GE 0/0/1 接口 设置 为 被 动 接 口 ， 区 别 在 于 第 一 种 方法 只 是 单独 
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对 某 一 个 接口 进行 被 动 操作 ; 而 第 二 种 是 在 对 所 有 接口 配置 为 被 动 接口 后 ， 再 排除 不 需 
要 配置 为 被 动 接 口 的 接口 。 

同样 在 其 他 部 门 的 网 关 路 由 器 上 进行 相应 配置 ， 使 得 所 有 部 门 的 终端 都 不 再 收 到 无 
关 的 OSPF 报 文 。 

[Rl]ospfl 

[R1-ospf-1]silent-interface GigabitEthernet 0/0/0 


[R2]ospf 1 
[R2-0spf-1]silent-interface GigabitEthernet 0/0/1 


[RSJospf 1 
[R5-ospf-1]silent-interface GigabitEthernet 0/0/1 
4. 验证 被 动 接口 
配置 被 动 接口 , 该 接口 会 禁止 接收 和 发 送 OSPF 报 文 , 故 假使 在 两 台 路 由 器 间 OSPF 
链 路 的 接口 上 也 做 该 配置 ， 会 导致 OSPF 邻居 的 无 法 建立 。 
以 R5 为 例 ， 将 其 GE 0/0/0 接口 配置 为 被 动 接口 。 


[Rs]ospf1 
[R5-ospf-1]silent-interface GigabitEthernet 0/0/0 


配置 完成 后 ， 查 看 R5 的 OSPF 邻居 关系 状态 。 

<R5>display ospf peer 

OSPF Process 1 with Router-ID 10.0.30.5 

可 以 观察 到 ， 此 时 R5 的 OSPF 邻居 全 部 消失 。 

查看 R5 上 的 OSPF 路 由 条 目 。 

<R5>display ip routing-table protocol ospf 

可 以 观察 到 ， 所 有 的 OSPF 路 由 条 目 都 丢失 。 即 验证 了 配置 了 被 动 接口 后 ，OSPF 
报 文 不 再 转发 ， 包 括 建立 邻居 和 维护 邻居 的 Hello 报 文 。 

在 上 一 步骤 中 ，R4 的 GE 0/0/1 接口 已 经 被 配置 了 被 动 接口 ， 那 么 配置 该 被 动 接口 
上 的 相关 网 段 的 路 由 信息 能 否 正 常 地 被 其 他 邻居 路 由 器 收 到 ? 

在 Rl1 上 查看 R4 被 动 接 口 GE 0/0/1 上 所 连 网 段 的 路 由 条 目 10.0.1.0/24。 


<R1>display ip routing-table 10.0.1.1 
Route Flags: R ~- relay, D - download to fib 


Routing Table : Public 


Summary Count :1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 OSPF 10 3 D 10.0.13.3 GigabitEthernet0/0/1 


可 以 观察 到 ， 此 时 其 他 邻居 路 由 器 仍然 可 以 收 到 该 网 段 的 路 由 条 目 。 

被 动 接口 特性 为 只 是 不 再 收发 任何 OSPF 协议 报 文 ， 但 是 被 动 接口 所 在 网 段 的 直 连 
路 由 条 目 如 果 已 经 在 OSPF 中 通告 ， 那 么 也 会 被 其 他 的 OSPF 邻居 路 由 器 接收 到 。 

在 PC-1 上 ， 测 试 与 PC-4 之 间 的 连通 性 。 

PC>ping 10.0.4.1 

Ping 10.0.4.1: 32 data bytes, Press Ctrl_C to break 

From 10.0.4.1: bytes=32 seq=] ttl=125 time=32 ms 

From 10.0.4.1: bytes=32 seq=2 ttl=125 time=46 ms 

From 10.0.4.1: bytes=32 seq=3 ttl=125 time=47 ms 

From 10.0.4.1: bytes=32 seq=4 ttl=125 time=32 ms 

From 10.0.4.1: bytes=32 seq=5 ttl=125 time=31 ms 
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—- 10.0.4.1 ping statistics -~- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
‘round-trip min/avg/max = 31/37/47 ms 


可 以 观察 到 ， 通 信和 正常 ， 完 全 不 受 影响 。 
思考 


在 本 实验 中 ， 通 过 配置 被 动 接口 可 以 禁止 OSPF 收发 Hello 报 文 ， 是 否 还 有 其 他 办 
法 也 能 实现 ? 


8.5 理解 OSPF Router-ID 


原理 概述 


一 些 动态 路 由 协议 要 求 使 用 Router-ID 作为 路 由 器 的 身份 标示 ， 如 果 在 启动 这 些 路 
由 协议 时 没有 指定 Router-ID， 则 路 由 协议 进程 可 能 无 法 正常 启动 。 

Router-ID 选举 规则 为 ， 如 果 通 过 Router-ID 命令 配置 了 RouterID， 则 按照 配置 结 
果 设 置 。 在 没有 配置 Router-ID 的 情况 下 ， 如 果 存 在 配置 了 卫 地 址 的 Loopback 接口 ， 则 
选择 Loopback 接口 地 址 中 最 大 的 地 址 作为 Router-ID; 如 果 没 有 已 配置 IP 地 址 的 
Loopback 接口 ， 则 从 其 他 接口 的 他 地 址 中 选择 最 大 的 地 址 作为 Router-ID 不 考虑 接口 
的 Up/Down 状态 )。 

当 且 仅 当 被 选 为 Router-ID 的 接口 IP 地 址 被 删除 /修改 ， 才 触发 重新 选择 过 程 ， 
其 他 情况 (例如 接口 处 于 DOWN 状态; 已 经 选取 了 一 个 非 Loopback 接口 地 址 后 又 
配置 了 一 个 Loopback 接口 地 址 ; 配置 了 一 个 更 大 的 接口 地 址 等 ) 不 触发 重新 选择 
的 过 程 。 

Router-ID 改变 之 后 ， 各 协议 需要 通过 手工 执行 reset 命令 才 会 重新 选取 新 的 
Router-ID 。 


实验 目的 


e 理解 Router-ID 的 选举 规则 
e 掌握 OSPF 手动 配置 Router-ID 的 方法 
。 理解 OSPF 中 Router-ID 必须 唯一 的 意义 


实验 内 容 
本 实验 模拟 企业 网 络 环境 。R1 为 部 门 A 的 网 关 设 备 ，R3 为 部 门 B 的 网 关 设 备 ，R4 
为 部 门 C 的 网 关 设 备 ，R2 为 企业 核心 路 由 器 。 现 网 络 中 运行 OSPF 协议 实现 全 网 互通 ， 


所 有 路 由 器 运行 在 区 域 0 内 ， 网 络 管理 员 需 要 正确 配置 Router-ID 以 避免 产生 不 必要 的 
问题 。 


264 HCNA 网 络 技术 实验 指南 


实验 拓扑 
理解 OSPF 的 Router-ID 拓扑 如 图 8-7 所 示 。 








部 门 A 
Ethernet 0/0/1 
R4 
图 8-7 理解 OSPF 的 Router-ID 拓扑 
实验 编 址 
实验 编 址 见 表 8-5。 
表 8-5 





ET 到 
PC | Boer! | or! | ssa52550 | 
opek 0 | till | 355255255255 | 

Ri (AR2220) 
ope 
Ra (AR220) 
Loopback 0 4.4.4.4 255.255.255;255 

R4 (ARD220) 





实验 步骤 
1. 验证 Router-ID 选举 规则 











-默认 网 关 


10.0.1.254 

10.0.2.254 

10.0.3.254 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 
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在 进行 基本 配置 之 前 ， 在 R1 上 使 用 display router id 命令 来 查看 当前 设备 上 的 
Route-ID 。 





”可 以 观察 到 ， 在 设备 没有 配置 任何 接口 时 ，RouterID 为 0.0.0.0。 
根据 实验 编 址 表 ， 在 R1 的 GE 0/0/1 接口 上 配置 他 地 址 10.0.12.1，GE 0/0/0 接口 配 
置 卫 址 10.0.1.254， 配 置 环 回 接口 0 的 地 址 1.1.1.1。 








en, 
Pg, 











”配置 完成 后 ， 在 R1 上 查看 所 有 接口 信息 。 


可 以 观察 到 ， 目 前 所 配置 的 接口 及 IP 地 址 信息 。 
查看 当前 设备 上 的 RouterID。 


可 以 观察 到 当前 设备 上 的 全 局 RouterID 为 10.0.12.1， 而 不 是 环 回 接口 地 址 1.1.1.1， 
这 是 为 什么 ? 

原因 是 接口 配置 顺序 会 影响 RouterID 的 选举 , 因为 设备 上 第 一 次 配置 的 是 物理 接口 
的 地 址 ， 该 动作 便 会 触发 RouterID 的 选举 。 而 此 刻 ， 设备 上 也 有 且 仅 有 该 物理 地 址 ， 所 
以 该 地 址 便 会 被 RouterID 所 使 用 ， 后 续 即 使 再 配置 了 环 回 接口 地 址 也 不 会 使 用 。 同 理 ， 
如 果 第 一 次 配置 的 是 其 他 物理 接口 的 地 址 , 或 者 是 环 回 接口 的 地 址 ， 都 会 被 RouterID 所 
使 用 。 
在 Rl 上 删除 接口 GE 0/0/1 的 他 地 址 ， 并 再 次 查看 此 时 设备 的 RouterID。 






可 以 观察 到 ， 当 删除 当前 RouterID 所 使 用 的 IP 地 址 时 ， 便 会 触发 重新 选举 ， 按 照 
环 回 接口 优先 的 规则 选择 使 用 1.1.1.1 作为 RouterID。 
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可 以 采用 手动 配置 的 方式 强制 指定 R1 的 Router-ID 为 1.1.1.1。 这 样 配置 的 优点 是 ， 
即使 该 地 址 现在 已 经 不 是 R1 的 任何 接口 的 地 址 ， 也 可 以 修改 成 为 Router-ID 删除 该 环 
回 接口 也 不 会 触发 重新 选举 ， 验 证 省 略 )。 

[Rl]routerid 1.1.1.1 

配置 完成 后 ， 马 上 会 弹出 以 下 信息 : 

Info: Router-ID has been modified, please reset the relative protocols manually to update the Router-ID， 

该 信息 表示 Router-ID 已 经 被 修改 ， 请 重启 相应 的 路 由 协议 进行 更 新 。 即 当前 全 局 
配置 的 Router-ID 已 经 被 更 新 ， 如 果 目 前 设备 上 已 经 运行 了 OSPF 协议 ， 需 要 重 置 OSPF 
协议 进程 或 者 重启 整 台 路 由 器 才 可 以 使 得 OSPF 协议 中 的 Router-ID 也 同步 更 新 使 用 该 新 
的 全 局 Router-ID 。 需 要 使 用 reset ospf process 命令 来 重 置 OSPF 协议 进程 。 

2. 基本 配置 

根据 实验 编 址 表 进 行 完 成 剩余 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 

<R1>ping 10.0.1.1 

PING 10.0.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.1.1: bytes=56 Sequence=1 世 =128 time=170 ms 
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=128 time=70 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=128 time=30 ms 
Reply from 10.0.1.1: bytes=56 Sequence=4 tti=128 time=30 ms 
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=128 time=10 ms 
--- 10.0.1.1 ping statistics ~-- 
5 packet(s) transmitted 
5 packet(s) received - 
0.00% packet loss， > "oe 
round-trip min/avg/max = 10/62/170 ms 

其 余 直 连 网 段 的 连通 性 测试 省 略 。 

3. 理解 OSPF 的 Router-ID 

在 所 有 路 由 器 上 配置 OSPF 协议 ， 并 都 运行 在 区 域 0 内 。 使 用 ospf router-id 命令 来 
配置 OSPF 协议 的 私有 Router-ID， 如 果 不 配置 ， 则 默认 使 用 全 局 下 的 Router-ID 。 

注意 区 分 设备 全 局 下 的 Router-ID 和 路 由 协议 的 Router-ID 的 概念 。 如 果 在 路 由 协议 
中 没有 配置 Router-ID， 就 会 默认 使 用 路 由 器 的 全 局 Router-ID。 如 果 配 置 ， 则 可 以 和 全 
局 Router-ID 不 一 致 。 

一 般 建议 采用 环 回 接口 地 址 作为 路 由 协议 的 Router-ID， 因 为 环 回 接口 是 逻辑 接口 ， 
比 物理 接口 更 加 稳定 。 在 对 网 络 操作 时 ， 网 络 管理 员 有 可 能 误 操 作 导 致 物理 接口 地 址 删 
除 ， 或 者 改动 ， 而 环 回 接口 则 一 般 不 会 去 改动 。 

[Rllospf 1 router-id 1.1.1.1 

[R1-0spf-1]area 0 

[R1-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 

[R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255 


[R2]ospf 1 router-id 2.2.2.2 

[R2-0spf-1]area 0 

[R2-0spf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 
[R2-0spf-1-area-0,0.0.0]network 10.0.23.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 10.0.24.0 0.0.0.255 
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配置 完成 后 测试 PC-1 和 PC-2 间 的 连通 性 。 


可 以 观察 到 ， 目 前 通信 正常 ， 其 余 PC 间 连 通 性 测试 省 略 。 
现在 修改 R2 的 Router-ID 为 3.3.3.3， 即 R3 的 Router-ID， 使 R3 和 R2 的 Router-ID 
重 辣 ， 并 重 置 协议 进程 使 该 配置 生效 。 


待 协 议 收 敛 后 ， 再 次 查看 R2 的 OSPF 邻居 信息 。 


可 以 观察 到 到 R2 与 R3 的 邻居 关系 消失 。 
测试 PC-1 与 PC-2 的 连通 性 。 
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网 络 已 经 发 生 故 障 ， 无 法 正常 通信 。 验 证 了 OSPF 建立 直 连 邻居 关系 时 ，Router-ID 
一 定 不 能 重 若 。 那 么 如 果 OSPF 非 直 连 邻居 的 Router-ID 重奏 会 产生 什么 现象 ? 
还 原 R2 之 前 的 配置 ， 调 整 R4 的 Router-ID 为 3.3.3.3， 与 R3 重 释 。 


本 和 完成 后 ， 查看 A 的 OSPF 下 邻居 状态 。 


发现 R2 有 两 个 3.3.3.3 的 邻居 ， 查 看 R2 的 路 由 表 。 


可 以 观察 到 ， 此 时 R2 没有 接收 到 R3 上 10.0.2.0/24 网 段 的 路 由 条 目 ， 即使 路 由 器 人 
居 关 系 建立 正常 ， 但 也 无 法 正常 获取 路 由 条 目 。 
测试 PC-1 与 PC-2 间 的 连通 性 。 
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通信 无 法 正常 进行 。 这 是 因为 R2 认为 是 同一 个 OSPF 邻居 ， 但 是 LSA 又 不 一 致 ， 
造成 链 路 状态 数据 库 发 送 错误 ， 无 法 计算 出 正确 的 路 由 信息 。 
综 上 所 述 ，OSPF 协议 的 Router-ID 务必 要 在 整个 路 由 选择 域内 保持 唯一 。 


思考 
试问 如 果 不 同 区 域 中 的 OSPF 路 由 器 的 Router-ID 重 和 登 又 会 导致 什么 问题 的 产生 ? 


8.6 OSPF 的 DR 与 BDR 


原理 概述 


在 OSPF 的 广播 类 型 网 络 和 NBMA 类 型 网 络 中 , 如果 网 络 中 有 n 台 路 由 器 , 若 任 意 
两 台 路 由 器 之 间 都 要 建立 邻接 关系 ， 则 需要 建立 nx(n-1)/2 个 邻接 关系 ， 即 当 路 由 器 很 
多 时 ， 则 需要 建立 和 维护 的 邻接 关系 就 很 多 ， 两 两 之 间 需 要 发 送 的 报 文 也 就 很 多 ， 这 会 
造成 很 多 内 容重 复 的 报 文 在 网 络 中 传递 ， 浪 费 了 设备 的 带宽 资源 。 因 此 在 广播 和 NBMA 
类 型 网 络 中 ，OSPF 协议 定义 了 指定 路 由 器 DR (Designated Router)， 即 所 有 其 他 路 由 器 
都 只 将 各 自 的 链 路 状态 信息 发 送 给 DR， 再 由 DR 以 组 播 方式 发 送 至 所 有 路 由 器 ， 大 大 
减少 了 OSPF 数据 包 的 发 送 。 

但 是 如 果 DR 由 于 某 种 故障 而 失效 ， 此 时 网 络 中 必须 重新 选举 DR， 并 同步 链 路 状 
态 信息 , 这 需要 较 长 的 时 间 。 为 了 能 够 缩短 这 个 过 程 ，OSPF 协议 又 定义 了 BDR (Backup 
Designated Router) 的 概念 ， 作 为 DR 路 由 器 的 备份 ， 当 DR 路 由 器 失效 时 ，BDR 成 为 
DR， 并 再 选择 新 的 BDR 路 由 器 。 其 他 非 DR/BDR 路 由 器 都 称 为 DR Other 路 由 器 。 

每 一 个 含有 至 少 两 个 路 由 器 的 广播 类 型 网 络 或 NBMA 类 型 网 络 都 会 选举 一 个 DR 和 
BDR。 选 举 规 则 是 首先 比较 DR 优先 级 ， 优 先 级 高 者 成 为 DR， 次 高 的 成 为 BDR。 如 果 
优先 级 相等 ， 则 Router-ID 数值 高 的 成 为 DR， 次 高 的 成 为 BDR。 如 果 一 台 路 由 器 的 DR 
优先 级 为 0， 则 不 参与 选举 。 需 要 注意 的 是 ，DR 是 在 某 个 广播 或 者 NBMA 网 段 内 进行 
选举 的 ， 是 针对 路 由 器 的 接口 而 言 的 。 某 台 路 由 器 在 一 个 接口 上 可 能 是 DR， 在 另 一 个 
接口 上 有 可 能 是 BDR， 或 者 是 DR Other。 

若 DR、BDR 已 经 选举 完毕 ， 人 为 修改 任何 一 台 路 由 器 的 DR 优先 级 值 为 最 大 ， 也 
不 会 抢占 成 为 新 的 DR 或 BDR， 即 OSPF 的 DR/BDR 选举 是 非 抢占 的 。 


实验 目的 


。 理解 OSPF 在 哪 种 网 络 类 型 中 会 选举 DR/BDR 
。 掌握 OSPF DR/BDR 的 选举 规则 

。 掌握 如 何 更 改 设备 接口 上 的 DR 优先 级 

。 理解 OSPF DR/BDR 选举 的 非 抢 占 特性 
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实验 内 容 


某 公 司 有 4 个 部 门 ， 路 由 器 Rl1 连接 到 总 经 理 办 公 室 ， 路 由 器 R2 连接 到 人 事 部 ，R3 
连接 到 开发 部 ，R4 连接 到 市 场 部 。4 台 路 由 器 通过 交换 机 S1 互联 ， 每 台 路 由 器 都 运行 
了 OSPF 路 由 协议 ， 都 运行 在 区 域 0 内 ， 使 得 公司 内 部 各 部 门 网 络 能 够 互相 通信 。 由 于 
路 由 器 通过 广播 网 络 互 连 ，OSPF 会 选举 DR 和 BDR， 现 网 络 管理 员 要 配置 使 得 性 能 较 
好 的 R1 成 为 DR, 性 能 次 之 的 R2 成 为 BDR， 而 性 能 最 差 的 R4 不 能 参加 DR 和 BDR 的 
选举 ， 由 此 来 完成 网 络 的 优化 。 









实验 拓扑 
本 实验 的 拓扑 如 图 8-8 所 示 。 
大 事 避 | 
21612 
GE 0/0/0 
Ethernet 0/0/2 
T7236.13: 
GE 0/0/0 Ee Ethernet 0/0/1 
LR Ethemet 0/0/3 I GE 0/0/0 
- 和 Wi Rl 
开发 部 Ethernet 0/0/4 总 经 理 办 公 室 
GE 0/0/0 
到 
R4 
这 疡 都 
图 8-8 理解 OSPF 的 DR 与 BDR 拓扑 
实验 编 址 
实验 编 址 见 表 8-6。 













Pr op 


















R1 (AR2220) 


| Loopback0 | 1lll | 255.255.255.255 | 
172:16.1.2 


R2 (AR2220) 


R3 (AR2220) 





R4 (AR2220) 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
<R1>ping 172.16.1.4 
PING 172.16.1.4: 56 data bytes, press CTRL C to break 
Reply from 172.16.1.4: bytes=56 Sequence=]1 ttl=255 time=100 ms 
Reply from 172.16.1.4: bytes=56 Sequence=2 ttl=255 time=70 ms 
Reply from 172.16.1.4: bytes=56 Sequence=3 ttl=255 time=70 ms 
Reply from 172.16.1.4: bytes=56 Sequence=4 tt=255 time=30 ms 
Reply from 172.16.1.4: bytes=56 Sequence=5 ttl=255 time=50 ms 
-一 172.16.1.4 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/64/100 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 基本 的 OSPF 网 络 
在 公司 网 络 中 的 4 台 路 由 器 RI、R2、R3、R4 上 配置 基础 的 OSPF 网 络 配置 。 每 台 


路 由 器 使 用 各 自 的 环 回 接口 地 址 作为 Router-ID， 并 且 都 运行 在 区 域 0 内 。 
[Rljrouterid 1.1.1.1 
[Rllospf 1 
[Rl-ospf-1]Jarea 0 
[R1-ospf-1-area-0.0.0.0Jnetwork 172.16.1.0 0.0.0.255 


[R2]router id 2.2.2.2 

[R2]ospf 1 

[R2-0spf-1]area 0 

[R2-0spf-1-area-0.0.0.0Inetwork 172.16.1.0 0.0.0.255 


[R3]router id 3.3.3.3 

[R3]ospf 1 

[R3-ospf-l]area 0 

[R3-0spf-1-area-0.0.0.0Jnetwork 172.16.1.0 0.0.0.255 


RR4lrouter id 4.4.4.4 

[R4]ospf1 

[R4-0spf-1]area 0 

[R4-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 


配置 完成 后 ， 同 时 重启 4 台 路 由 器 上 的 OSPF 进程 ， 或 者 直接 同时 重启 设备 。 


<R1>reset ospf process 
<R2>reset ospf process 
<R3>reset ospf process 


<R4>reset ospf process 
重 置 后 再 次 检查 OSPF 邻居 建立 情况 ， 使 用 display ospf peer brief 命令 进行 查看 。 


<R1>display ospf peer brief 
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OSPF Process 1 with Router-ID 1.1.1.1 
Peer Statistic Information 


Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full 
0.0.0.0 GigabitEthernet0/0/0 3.3.3.3 Full 
0.0.0.0 GigabitEthernet0/0/0 4.4.4.4 Full 
可 以 观察 到 ，R1 此 时 已 经 和 其 他 路 由 器 成 功 建立 起 OSPF 邻居 关系 。 其 他 设备 上 的 
查看 过 程 省 略 。 


3. 查看 默认 情况 下 的 DR/BDR 状态 

使 用 display ospf peer 命令 查看 此 时 默认 情况 下 OSPF 网 络 中 的 DR/BDR 选举 情况 。 

区 1]display ospf peer 全 

OSPF Process 1 with Router-ID 1.1.1.1 
Neighbors 

Area 0.0.0.0 interface 172.16.1.1(GigabitEthernet0/0/0)'s neighbors 

Router-ID; 2.2.2.2 Address: 172.16.1.2 

State: 2-Way Mode:Nbris Master Priority: 1 

DR: 172.16.1.4 BDR:172.16.1.3 MTU:0 

Deadtimerduein35 5s 

Retrans timer interval: 0 

Neighbor is up for 00:00:00 

Authentication Sequence: [0 ] 

Router-ID: 3.3.3.3 Address: 172.16.1.3 

State: Full Mode:Nbris Master Priority: 1 

DR: 172.16.1.4 BDR:172.16.1.3 MTU:0 

Dead timer due in34 8s 

Retrans timer interval: 5 

Neighbor is up for 00:00:48 

Authentication Sequence: [0 ] 

Router-ID: 4.4.4.4 Address: 172.16.1.4 

State: Full Mode:Nbris Master Priority: 1 

DR: 172.16.1.4 BDR:172.16.1:3 MTU:0 

Dead timer duein34 $s 

Retrans timer interval: 0 

Neighboris up for 00:00:46 

Authentication Sequence: [0] 

可 以 观察 到 在 该 广播 网 络 中 ， 此 时 R4 为 OSPF 网 络 中 的 DR，R3 为 BDR。 这 是 由 
于 在 默认 情况 下 ， 每 台 路 由 器 上 的 DR 优先 级 都 为 1， 此 时 是 通过 Router-ID 的 数值 高 低 
进行 比较 的 。 

接 下 来 在 每 台 设备 上 的 相关 接口 下 使 用 ospf network-type p2mp 命令 修改 OSPF 的 
网 络 类 型 为 点 到 多 点 。 

[Rllinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]ospf network-type p2mp 


[R2]interface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]ospf network=type p2mp 


[R3linterface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0lospf network-type p2mp 
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配置 完成 后 ， 在 R1 上 再 次 观察 此 时 OSPF 的 DR/BDR 选举 情况 。 


可 以 观察 到 , DR/BDR 都 为 None, 验证 了 在 点 到 多 点 的 网 络 类 型 中 不 选举 DR/BDR， 
同样 在 点 到 点 网 络 中 也 是 ， 这 里 不 再 歼 述 。 

4. 根据 现 网 需求 影响 DR/BDR 选举 

现在 根据 需求 ， 网 络 管理 员 要 使 得 性 能 较 好 、 处 理 能 力 较 强 的 R1 成 为 DR， 性 能 次 之 
的 R2 成 为 BDR， 而 性 能 最 差 的 R4 不 能 参加 DR 和 BDR 的 选举 ， 由 此 来 完成 网 络 的 优化 。 

首先 将 OSPF 网 络 类 型 还 原 为 默认 的 广播 网 络 类 型 。 


配置 完成 后 ,修改 R1 上 GE 0/0/0 接口 的 DR 优先 级 为 100、R2 为 50、R4 为 0、R3 
保持 默认 不 变 。 
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配置 完成 后 ， 查 看 各 路 由 器 的 DR/BDR 选举 情况 。 


发 现 此 时 的 DR 与 BDR 都 没有 改变 ， 即 验证 了 OSPF 的 DR/BDR 选举 是 非 抢占 的 。 
必须 要 在 4 台 路 由 器 上 同时 重启 OSPF 进程 , 或 者 重启 路 由 器 才能 使 得 其 重新 正确 选举 。 

同时 重启 4 台 路 由 器 的 OSPF 进程 ， 或 直接 同时 重启 设备 。 

重 置 后 再 次 查看 各 路 由 器 的 DR/BDR 选举 状态 。 
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SC PN Nd Ne ae Pond 
DR: 172.16.1.: BDR: 172.16.1. 

Deadtimer duein29 8 

‘Retrans timer interval: 5 人 a 

Neighbor is up for 00:00:28 E 

Authentication Sequence: [ 0] 

此 时 发 现在 该 广播 网 络 中 ，R1 为 DR，R2 为 BDR， 实 现 了 网 络 的 需求 。 


思考 


在 本 实验 步骤 2 中 ， 基 础 的 OSPF 网 络 配置 完毕 后 ， 为 什么 要 同时 重启 4 台 路 由 器 
上 的 OSPF 进程 ? 





8.7 OSPF 开销 值 、 协 议 优先 级 及 计时 器 的 修改 


原理 概述 


由 于 路 由 器 上 可 能 同时 运行 多 种 动态 路 由 协议 ， 就 存在 各 个 路 由 协议 之 间 路 由 信息 
共享 和 选择 的 问题 。 系 统 为 每 一 种 路 由 协议 设置 了 不 同 的 默认 优先 级 ， 当 在 不 同 协议 中 
发 现 同一 条 路 由 时 ， 协 议 优先 级 高 的 将 被 优选 。 

如 果 没 有 直接 配置 OSPF 接口 的 开销 值 ，OSPF 会 根据 该 接口 的 带宽 自动 计算 其 开 
销 值 。 计 算 公 式 为 : 接口 开销 = 带宽 参考 值 /接口 带宽 ， 取 计算 结果 的 整数 部 分 作为 接口 
开销 值 〈 当 结果 小 于 1 时 取 1)。 通 过 改变 带宽 参考 值 可 以 间接 改变 接口 的 开销 值 。 

OSPF 常见 的 计时 器 包括 Hello timer 和 Dead timer, 分 别 决 定 了 OSPF 发 送 Hello 报 
文 的 间隔 和 保持 邻居 关系 的 计时 器 。 默 认 情况 下 ，P2P、Broadcast 类 型 接口 发 送 Hello 
报 文 的 时 间 间 隔 为 10s， 邻 居 失 效 时 间 为 40s; P2MP、NBMA 类 型 接口 发 送 Hello 报 文 
的 时 间 间 隔 为 30s; 邻居 失效 时 间 为 120s。 


实验 目的 


。 掌握 配置 OSPF 协议 优先 级 的 方法 
。 掌握 配置 OSPF 开销 的 方法 

。 掌握 配置 OSPF Hello timer 的 方法 
。 掌握 配置 OSPF Dead timer 的 方法 


实验 内 容 


本 实验 模拟 企业 两 个 分 支 机 构 之 间 通 过 两 条 路 径 实 现 互 联 互 通 。R1 为 分 支 机 构 A 
的 网 关 设 备 ，R4 为 分 支 机 构 B 的 网 关 设 备 。 公 司 原 网 络 为 分 支 A 与 分 支 B 通过 R2 进 
行 通信 ， 设 备 之 间 运 行 的 是 OSPF 协议 ， 都 属于 区 域 0。 后 因 带 宽 需 要 增 大 ， 两 机 构 之 
间 决 定 新 增 一 条 带宽 更 大 路 径 ， 通 过 R3 相连 ， 运 行 RIP 协议 ， 并 设置 为 主 用 路 径 ， 以 
前 的 链 路 为 备用 路 径 。 当 后 期 R3 设备 升级 之 后 ， 可 支持 OSPF 时 需要 将 网 络 割 接 到 OSPF 
协议 以 便于 管理 。 
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实验 拓扑 
OSPF 开销 值 、 协 议 优 先 级 及 计时 器 的 修改 拓扑 如 图 8-9 所 示 。 








Ethernet 0/0/1 
Serial 4/0/1 v R2 sw Serial 4/0/0 
$ 
JE `、 W020 
PC-1 RI 2 . - 
Eo .7 Serial 4/0/0 Serial 4/0/0、 、 
[| | Ethernet 0/0/1 

R5 

mr GE 0/0/0 民 


GE 0/0/1 







到 用 机 构 和 
1 1 
R3 
图 8-9 ”OSPF 开销 值 、 协 议 优先 级 计时 器 的 修改 拓扑 
实验 编 址 
实验 编 址 见 表 8-7。 
表 8-7 四 实验 编 址 





PC-1 Ethernet 0/0/1 10.0.1.1 255.259,255:0 10.0.1.254 
PC-2 Ethernet 0/0/1 10.0.2.1 2535.255.255:0 10.0.2.254 
GE 0/0/0 10.0.1.254 255.255.255.0 N/A 
R1 (AR2220) GE 0/0/1 10.0.13.1 235.255.255.0 N/A 
Serial 4/0/0 10.0.12.1 255.255.255:0 N/A 
R2 CAR2220) Serial 4/0/0 10.0.24.2 253.253.235,0 N/A 
Serial 4/0/1 10.0.12.2 255.255.2$5.0 N/A 
Ra C 220) GE 0/0/0 10.0.13.3 255.2S3.2550 N/A 

















NA 
NA 
R4 CAR2220) NA 
NA 
NA 
NA 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
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<R1>ping 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.12.2: bytes=56 Sequence=1 ttl=255 time=50 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=40 ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=20 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=40 ms 
-~-- 10.0.12.2 ping statistics --- 
Spacket(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/32/50 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 协议 优先 级 
部 署 OSPF 网 络 ， 实 现 分 支 A 和 分 支 B 之 间 通 过 R2 实现 通信 。 
在 路 由 器 R1、R2、R4 上 部 署 OSPF 网 络 ， 通 告 相 关 网 段 属于 区 域 0。 
[R1ljospfl 
[Ri-ospfl]area0 
[Ri-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.0]Jnetwork 10.0.1.0 0.0.0.255 


[R2]espf 1 

[R2-0spf-1]area 0 

[R2-0spf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 10.0.24.0.0.0.0.255 


[R4]ospf 1 

[R4-ospf-1larea 0 

[R4-0spf-1-area-0.0.0.0Jnetwork 10.0.24.0 0.0.0.255 
[区 4-ospf1l-area-0.0.0.0]network 10.0.45.0 0.0.0.255 


[R5]ospf 1 
[R5-ospf-1larea 0 
[R5-ospf-1-area-0.0.0.0Inetwork 10.0.45.0 0.0.0.255 
[RS5-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255 
部 署 完成 后 ， 测 试 两 分 支 间 PC-1 与 PC-2 间 的 连通 性 。 
PC>ping 10.0.2.1 
Ping 10.0.2.1: 32 data bytes， Press Ctrl_C to break 
From 10.0.2.1: bytes=32 seq=] ttl=124 time=47 ms 
From 10.0.2.1: bytes=32 seq=2 ttl=124 time=31 ms 
From 10.0.2.1: bytes=32 seq=3 ttl=124 time=47 ms 
From 10.0.2.1; bytes=32 seq=4 ttl=124 time=31 ms 
From 10.0.2.1: bytes=32 seq=5 ttl=124 time=47 ms 
~- 10.0.2.1 ping statistics -~ 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/40/47 ms 


通信 正常 ， 即 目前 通过 R2 的 线路 正常 。 
现 网 络 管理 员 开 始 实施 网 络 升级 方案 ， 部 署 使 用 经 过 R3 的 线路 ，i 


[Riljrip 1 
[R1-rip-l]version 2 


1 
> 


RIP 协议 。 


全 
i 
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[R1-rip-ljundo summary 
[Rl-rip-l]network 10.0.0.0 


[R3]rip 1 
[R3-rip-1]version 2 
[R3-rip-llundo summary 
[R3-rip-l]network 10.0.0.0 


[R4]rip 1 
[R4-rip-1]version 2 
[R4-rip-1]undo summary 
[R4-rip-1]network 10.0.0.0 


[RS]rip 1 
[RS-rip-l]version 2 
[R$5-rip-l]jundo summary 
[R5-rip-1jnetwork 10.0.0.0 


配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 支 B 网 段 的 10.0.2.0 
的 条 目 。 


[R1]display ip routing-table 10.0.2.0 
Route Flags: R- relay, D - download to fib 


Routing Table : Public 

Summary Count : 1 

Destination/Mask Proto , Pre’ Gost, Flags NextHop Interface 
10.0.2.0/24 QSPEN LO 站 D 10.0.12.2 Serial4/0/0 


发 现 分 支 B 网 段 的 路 由 条 目 现在 仍然 通过 OSPF 协议 获得 ， 即 两 分 支 间 的 数据 仍然 
通过 R2 转发 。 新 接 入 的 R3， 带 宽 更 大 的 路 径 没 有 参与 数据 转发 ， 升 级 不 成 功 。 可 以 使 
用 tracert 命令 在 设备 和 PC 上 进行 验证 ， 此 处 省 略 。 

导致 不 成 功 的 原因 是 该 路 由 条 目 可 以 同时 从 OSPF 协议 和 RIP 协议 获得 ， 当 同一 路 
由 条 目 可 以 通过 不 同 的 路 由 协议 获得 时 ， 首 先 比较 两 协议 的 优先 级 ， 路 由 器 将 优选 优先 
级 高 的 路 由 协议 。OSPF 的 默认 协议 优先 级 为 10， 而 RIP 为 100， 优 先 级 值 越 低 表示 优 
先 级 越 高 ， 故 而 选择 了 从 OSPF 协议 获得 的 路 由 条 目 。 

但 是 根据 实际 需求 ， 经 过 R2 使 用 的 OSPF 线路 是 广域网 线路 ， 带 宽 很 低 ， 而 经 过 
R3 使 用 的 RIP 线路 是 以 太 网 线路 ， 带 宽 高 ， 所 以 现在 一 定 要 选择 RIP 条 目 进 行 转发 。 
通过 修改 OSPF 协议 优先 级 即 可 。 

在 R1、R4、Rs5 的 进程 下 使 用 preference 命令 修改 OSPF 协议 优先 级 的 值 为 110， 
大 于 RIP 的 100。 


[R1]Jospf 1 
[R1-ospf-1]preference 110 


[R4]ospf 1 
[R4-0spf-1]preference 110 


[R5]ospf 1 
[RS-ospf 人 1]preference 110 


配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 文 B 网 段 的 10.0.2.0 
的 条 目 。 
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<R1>display ip routing-table 10.0.2.0 

Route Flags: R -relay, D -download to fib 

Routing Table : Public 

Summary Count : 1 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10:0.2:0/24 RIP- 100.” Bt D 10.0.13.3 GigabitEthernet0/0/1 
可 以 观察 到 ， 现 在 已 经 使 用 经 过 R3 的 线路 。 


在 分 支 B 的 网 关 设 备 R4 上 查看 路 由 表 中 关于 分 支 A 网 段 的 10.0.1.0 的 条 目 。 
<R4>display ip routing-table 10.0.1.1 
Route Flags: R- relay, D -download to fib 





R4 也 采用 经 过 Re 的 线路 ， 往 返 路 径 一 致 可 以 进 一 - 步 使 用 tracert 命令 测试 
里 省 略 。 

3. 配置 OSPF 开销 值 

由 于 网 络 中 运行 不 同 路 由 协议 将 会 导致 管理 不 便 ， 现 需要 更 改 R3 的 配置 ， 使 其 运 
行 OSPF 协议 。 

在 网 络 调整 过 程 中 最 重要 的 就 是 尽量 确保 能 够 使 其 对 用 户 通 信 所 造成 的 影响 程度 降 
至 最 小 ， 并 且 一 般 选 择 在 用 户 网 络 使 用 率 较 少 的 深夜 进行 。 经 过 对 网 络 的 分 析 后 发 现 ， 
在 R3 上 直接 部 署 OSPF 协议 属于 区 域 0 中， 即 和 R2 一 样 都 运行 OSPF 协议 ， 那 么 在 相 
同 OSPF 协议 下 ， 路 由 的 选择 首先 比较 链 路 的 开销 值 ， 而 经 过 R2 的 线路 为 广域网 链 路 ， 
开销 值 明显 高 于 经 过 R3 的 以 太 网 链 路 ， 即 仍然 维持 通过 R3 来 转发 公司 两 支 间 的 流量 ， 
风险 较 小 。 故 网 络 管理 员 将 直接 在 经 过 R3 的 线路 上 部 署 OSPF 协议 。 

在 R1、R3、R4 上 配置 OSPF 协议 ， 通 告 相 关 网 段 。 


[R3]ospf 1 

[R3-ospf-1jarea0 

[R3-osp 人 1-area-0.0.0.0]jnetwork 10.0.13.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0jnetwork 10.0.34.0 0.0.0.255 


[Rilospf 1 
[Rl-ospf-1]area 0 
[Rl-ospf-1-area-0.0.0.0jnetwork 10.0.13.0 0.0.0.255 


[R4]ospf 1 

[R4-ospf-1ljarea0 

[R4-osp 仓 1-area-0.0.0.0jnetwork 10.0.34.0 0.0.0.255 

配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 支 B 网 段 的 10.0.2.0 
的 条 目 。 

<R1>display ip routing-table 10.0.2.0 

Route Flags: R - relay， D - download to fib 

Routine Tabla Poole 

Summary Count :1 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.2.0/24 OSPF TO 全 D 10.0.13.3 GigabitEthernet0/0/1 
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可 以 观察 到 ， 网 络 配置 调整 完成 后 ， 仍 然 维持 使 用 R3 的 线路 转发 。 注 意 ， 最 后 还 
要 删除 RIP 协议 的 相关 配置 ， 以 免 造成 不 必要 的 隐患 ， 删 除 步 又 此 处 省 略 。 

现 要 求 分 支 机构 A 能 够 每 月 定期 检查 备用 路 径 是 否 正常 可 用 , 那么 就 要 求 流量 能 够 
通过 R2 转发 ， 但 是 由 于 目前 经 过 R2 的 线路 的 开销 值 远大 于 经 过 R3 的 线路 而 导致 无 法 
测试 ， 可 以 通过 手动 修改 OSPF 开销 值 的 方法 来 实现 路 径 选 择 。 

在 Rl 的 GE 0/0/1 接口 上 使 用 ospf cost 命令 配置 运行 OSPF 协议 所 需 的 开销 值 。 


[R1lJinterface GigabitEthernet 0/0/1 
[R1-GigabitEthermet0/0/1]ospf cost 1000 


配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 支 B 网 段 的 10.0.2.0 
的 条 目 。 

<R1>display ip routing-table 10.0.2.0 本 

Route Flags: R -relay， D -download to fib 


Routing Table : Public 


Summary Count : 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.2,0/24 OSI OD OG Serial4/0/0 


可 以 观察 到 , 现在 发 送 至 分 支 B 的 流量 已 经 通过 R2 来 转发 , 经 过 R2 的 路 径 的 路 由 
开销 为 值 98， 远 小 于 R3 上 配置 的 路 由 开销 1000。 

注意 ，OSPF 链 路 开销 值 是 基于 接口 修改 的 ， 一 定 要 在 路 由 更 新 的 入 接口 修改 才 
生效 。 

4. 配置 OSPF 计时 器 

网 络 管理 员 在 日 常 网 络 巡 检 中 发 现 ， 经 过 R3 的 线路 是 以 太 网 ， 在 OSPF 协议 中 的 
网 络 类 型 为 广播 网 络 类 型 ， 即 默认 Hello 计时 器 和 Dead 计时 器 是 10s 和 40s。 这样 OSPF 
数据 的 Hello 报 文 发 送 过 于 频繁 。 

现 修改 R1 上 Hello 计时 器 和 Dead 计时 器 为 20s 和 80s。 

[Rllinterface GigabitEthernet 0/0/1 


[R1-GigabitEthernetO/0/1]ospf timer hello 20 

[R1-GigabitEthernet0/0/1]ospf timer dead 80 

稍 等 片刻 ， 会 发 现 R1 与 R3 的 邻居 关系 中 断 ， 这 是 因为 Hello 计时 器 和 Dead 
计时 器 在 OSPF 广播 网 络 中 建立 邻居 关系 时 要 进行 校 验 ， 校 验 一 致 才能 够 建立 
邻居 。 

同样 修改 R3 的 两 个 计时 器 ， 和 R1 保持 一 致 。 

[R3]interface GigabitEthernet 0/0/0 

[R3-GigabitEthernetO/0/1]ospf timer hello 20 

[R3-GigabitEthemet0/0/1]ospf timer dead 80 

配置 完成 后 ， 查 看 Rl1 的 邻居 状态 。 


<R1>display ospf peer 

OSPF Process 1 with Router-ID 10.0.1.254 

Neighbors 

Area 0.0.0.0 interface 10.0.13.1(GigabitEthernet0/0/1)'s neighbors 
Router-ID: 10.0.13.3 Address: 10.0.13.3 
State: Full Mode:Nbris Master Priority: 1 
DR: 10.0.13.3 BDR: None MTU:0 
Deadtimer due in79 $s 
Retrans timer interval: 0 
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Neighbor is up for 00:00:18 
Authentication Sequence: [0] = 
可 以 观察 到 ， 邻 居 恢 复 正常 。 


思考 


OSPF 的 Dead 计时 器 时 长 默认 为 什么 要 保持 是 Hello 计时 器 的 4 倍 ? 一 定 要 保持 4 
倍 关 系 吗 ? 


8.8 连接 RIP 与 OSPF 网 络 


原理 概述 


不 同 的 网 络 会 根据 自身 的 实际 情况 来 选用 路 由 协议 。 比 如 有 些 网 络 规模 很 小 ， 为 了 
管理 简单 ， 部 署 了 RIP; 而 有 些 网 络 很 复杂 ， 可 以 部 署 OSPF。 不 同 路 由 协议 之 间 不 能 直 
接 共享 各 自 的 路 由 信息 ， 需 要 依靠 配置 路 由 的 引入 来 实现 。 

获得 路 由 信息 一 般 有 3 种 途径 : 直 连 网 段 、 静 态 配置 和 路 由 协议 。 可 以 将 通过 这 3 
种 途径 获得 的 路 由 信息 引入 到 路 由 协议 中 , 例如 , 把 直 连 网 段 引入 到 OSPF 中 , 叫做 “ 引 
入 直 连 ” 把 静态 路 由 引入 OSPF， 叫 做 “引入 静态 路 由 ” 把 RIP 引入 OSPF 叫做 “ 引 
入 RIP”。 当 把 这 些 路 由 信息 引入 到 路 由 协议 进程 以 后 ， 这 些 路 由 信息 就 可 以 在 路 由 协议 
进程 中 进行 通告 了 ， 也 就 是 说 通过 配置 引入 ， 一 种 路 由 协议 可 以 自动 获得 所 有 来 自 另 一 
种 协议 的 所 有 路 由 信息 。 

不 同 的 路 由 协议 计算 路 由 开销 的 依据 是 不 同 的 ， 开 销 值 的 大 小 和 范围 都 是 不 同 的 。 
OSPF 的 开销 值 基于 带宽 ， 而 且 值 的 范围 很 大 ，RIP 的 开销 基于 跳 数 ， 范 围 很 小 所 以 当 
配置 OSPF 和 RIP 相互 引入 时 一 定 要 小 心 〈 在 华为 VRP 平台 上 ， 当 引入 OSPF 路 由 至 
RIP 时 ， 如 不 指定 Cost 值 ， 开 销 值 将 默认 设 为 1。 尽 管 如 此 ， 网 络 管理 员 还 是 应 该 手工 
配置 开销 值 以 反映 网 络 的 真实 情况 )。 


实验 目的 


。 理解 路 由 引入 的 应 用 场景 

。 掌握 RIP 中 引入 其 他 协议 的 配置 

。 掌握 OSPF 中 引入 其 他 协议 的 配置 
。 掌握 路 由 引入 时 修改 开销 值 的 方法 


实验 内 容 
本 实验 模拟 真实 网 络 场景 。 路 由 器 R1 分 别 连接 两 家 公司 网 络 ，R1 左 侧 公司 A 内 部 
网 络 运行 RIP 协议 ， 公 司 B 内 部 网 络 运行 OSPF 协议 。 由 于 业务 发 展 需要 ， 两 家 公司 需 


要 能 够 互相 通信 。 但 由 于 两 家 公司 使 用 不 同 的 路 由 协议 ， 现 需要 在 路 由 器 R1 上 配置 双 
向 路 由 引入 。 
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实验 拓扑 
连接 RIP 与 OSPF 网 络 的 拓扑 如 图 8-10 所 示 。 


oe GE 0/0/0 


4 Ethernet 0/0/1 人 
Sl = GE 0/0/1 a 


Ethernet 0/0/2 


Ethernet 0/0/1 





图 8-10 ”连接 RIP 与 OSPF 网 络 拓扑 


实验 编 址 


实验 编 址 见 表 8-8。 

表 8-8 实验 编 址 

R1 (AR1220) GE 0/0/0 172.162:1 255.255.255.0 
GE 0/0/1 192.168.2.1 255.255.255.0 
GE 0/0/0 172.16.2.2 255.255.255.0 
























R2 (AR1220) 


R3 (AR1220) 


Ethemet 0/0/1 





172.16.1.254 
192.168.1.254 









实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
[R2jping 172.16.1.1 
PING 172.16.1.1: S6 data bytes, press CTRL C to break 
Reply from 172.16.1.1: bytes=56 Sequence=] ttl=128 time=50 ms 
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=128 time=60 ms 
Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=128 time=80 ms 
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其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 搭建 RIP 和 OSPF 网 络 

根据 图 8-10 配置 路 由 协议 ， 公 司 A 内 部 运行 RIP 协议 。 在 RI 和 R2 上 配置 RIP， 
进程 号 为 1， 启用 RIP v2 版 本 、 关 闭 自动 汇总 ， 通 告 各 自 接口 所 在 网 段 ，R1 在 RIP 中 仅 
通告 GE 0/0/0 接口 所 在 网 段 。 


ff - . 2 my 着 
公司 B 内 部 运行 OSPF 协议 。 在 Rl1 和 R3 上 配置 OSPF， 使 用 进程 号 1， 所 有 网 段 
都 属于 区 域 9，R1 在 OSPF 中 仅 通告 GE 0/0/1 接口 所 在 网 段 。 


配置 完成 后 查看 R1 的 路 由 表 。 


由 于 R1 上 同时 运行 了 RIP 协议 和 OSPF 协议 ,可 以 观察 到 R1 同时 拥有 公司 A 和 公 
司 B 的 路 由 信息 。 

3. 配置 双向 路 由 引入 

为 了 使 两 个 公司 网 络 能 够 互相 访问 , 需要 把 公司 A 的 RIP 协议 的 路 由 引入 到 公司 B 
的 OSPF 协议 中 ， 同 样 把 公司 B 的 OSPF 协议 的 路 由 引入 到 公司 A 的 RIP 协议 中 。 
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在 Rl 的 OSPF 进程 中 使 用 import-route rip 命令 引入 RIP 路 由 。 


[R1]Jospf 1 
[R1-ospf-1limport-route rip 1 


配置 完成 后 ， 查 看 R3 的 路 由 表 。 


[R3]display ip routing-table 
Route Flags: R = relay, D - downioad to fib 


Routing Tables: Public 


Destinations ; 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

172.16.1.0/24 ©O_ASE 150 1 D 192.168.2.1 GigabitEthernet0/0/1 
172.16.2.0/24 ©O_ASE 0 Ti D 192. 168. Zl GigabitEthernet0/0/I 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 ~ GigabitEthernet0/0/0 

192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 0 D 192.168.2.3 GigabitEthernet0/0/1 
192.168.2.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
127.0.0.0/8 es 0 : D 127.0.0.1 InLoopBack0 

D 


127.0.0.1/32 0 127.0.0.1 InLoopBack0 
可 以 观察 到 R3 下 现在 拥有 来 自从 司 A 的 路 由 信息 。 
在 Rl 的 RIP 进程 中 使 用 import-route ospf 命令 引入 OSPF 路 由 。 
[RIrip 1 
[Rl1-rip-l1limport-route ospf 1 
配置 完成 后 ， 查 看 R2 的 路 由 表 。 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 8 Routes :8 


Destination/Mask Proto Pre Cost Flags NextHop Interface 

172.16.1.0/24 “Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 

172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthemetO/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernetO/0/0 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.0/24 = RIP 0 = i GigabitEthernet0/0/0 

192.168.2.0/24 RIP Tom D 172.16.2.1 GigabitEthemet0/0/0 
127.0:0.0/8 Direct ~- 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 R2 上 现在 拥有 来 自 公 司 B 的 路 由 信息 ， 且 路 由 的 开销 值 默认 都 
为 1。 

当 配 置 路 由 引入 后 双方 可 以 互相 获得 对 方 的 路 由 信息 ， 但 是 在 各 自 的 路 由 表 中 ， 开 
销 都 为 默认 值 1。 

4. 手工 配置 引入 时 的 开销 值 

为 了 能 够 反映 真实 的 网 络 拓扑 情况 ， 更 好 地 进行 路 由 控制 。 网 络 管理 员 在 将 OSPF 
引入 RIP 时 手工 配置 路 由 开销 值 , 例如 在 Ri 的 RIP 进程 中 使 用 import-route ospf 1 cost 
3 命令 修改 开销 值 为 3。 

[Rljrip 1 

[Rl-rip-1]import-route ospf 1 cost 3 


配置 完成 后 ， 在 R2 上 查看 Cost 值 的 变化 情况 。 
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[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 10 Routes : 10 


Destination/Mask Rroto ~ Pre Cost Flags ”NextHop Interface 

tot0 pie 0 0 D 172.16.1.254 9 GigabitEthernet0/0/1 
172:16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.024 Direct 0 0 D 17916.20 GigabitEthernet0/0/0 
172,16.2:2/32 ‘Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.0/24 、RIP te WE， Bl 17%16.2.1 GigabitEthernet0/0/0 
192,168 20/24 RB DO 7 D 172.162.1 . GigabitEthemet0/0/0 

127.0.0.0/8 Direct 0 127.0.0.1 InLoopBack0 

127.0.0.1/32 ， Direct 0 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 在 R2 的 路 由 表 中 两 条 路 由 的 Cost 值 已 经 变 为 4， 这 是 因为 还 加 上 了 
R2 接口 上 的 Cost 值 1。 


思考 
关于 在 路 由 引入 时 手工 修改 路 由 的 Cost 值 ， 这 么 做 还 有 其 他 的 用 处 吗 ? 


8.9 ”使 用 RIP、OSPF 发 布 默 认 路 由 


原理 概述 


默认 路 由 是 指 目的 地 址 和 掩 码 都 是 0 的 路 由 条 目 。 当 路 由 器 无 精确 匹配 的 路 由 时 ， 就 
可 以 通过 默认 路 由 进行 报 文 转 发 。 

合理 使 用 默认 路 由 ， 可 以 在 很 大 程度 上 减 小 本 地 路 由 表 的 大 小 ， 节 约 设备 资源 。 默 
认 路 由 可 以 在 路 由 器 上 手工 配置 ， 也 可 以 由 路 由 协议 自动 发 布 。 

RIP 和 OSPF 这 两 种 路 由 协议 都 可 以 通过 配置 使 路 由 器 对 协议 邻居 发 布 默认 路 由 ， 
并 且 可 以 设置 该 路 由 的 度量 值 。 


实验 目的 


e 理解 默认 路 由 的 应 用 场景 
。 掌握 RIP 发 布 默认 路 由 的 配置 
。 掌握 OSPF 发 布 默认 路 由 的 配置 


实验 内 容 


本 实验 模拟 真实 网 络 场景 。 路 由 器 R1 分 别 连接 两 家 公司 网 络 ，R1 左 侧 公司 A 
内 部 网 络 运行 RIP 协议 ， 公 司 B 内 部 网 络 运 行 OSPF 协议 。 由 于 业务 发 展 需要 ， 两 家 
公司 人 员 需 要 能 够 互相 通信 ,但 是 为 了 保护 自身 网 络 的 私密 性 ， 双 方 都 不 愿意 对 方 知 
道 自己 网 络 的 明细 路 由 。 这 种 情况 下 需要 配置 路 由 协议 以 自动 发 布 默认 路 由 的 方式 来 
完成 此 需求 。 
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实验 拓扑 
使 用 RIP、OSPF 发 布 默认 路 由 的 拓扑 如 图 8-11 所 示 。 


GE 0/0/1 


Ethernet 0/0/2 (216 2054 


Ethernet 0/0/1 





图 8-11 使 用 RIF、OSPF 发 布 默认 路 由 拓扑 
实验 编 址 
实验 编 址 见 表 8-9。 
表 8-9 实验 编 址 
EE eke Fr 如 三 地 址 一 












Epa of 


R1 (AR1220) 


: ET 
es 


R3 (AR1220) 


172.16.1.254 
192.168.1.254 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 扯 配 置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
[R2]ping 172.16.1.1 El J 0 
PING 172.16.1.1: 56 data bytes, press CTRL_C to break 
Reply from 172.16.1.1: bytes=56 Sequence=1l tti=128 time=50 ms 
Reply from 172.16.1.1: bytes=56 Sequence=2 世 =128 time=60 ms 
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Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=128 time=80 ms 
Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=128 time=30 ms 
Reply from 172.16.1.1: bytes=56 Sequence=5 ttl=128 time=60 ms 
-一 172.16.1.1 ping statistics -一 

5 packet(s) transmitted 
5 packet(s) received 
0:00% packet loss 

round-trip min/avg/max = 30/56/80 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 配置 RIP 和 OSPF 路 由 协议 

根据 实验 拓扑 图 配置 路 由 协议 , 公司 A 内 部 运行 RIP 协议 。 在 R1 和 R2 上 配置 RIP， 
进程 号 为 1， 启用 RIP v2 版本、 关闭 自动 汇总 , 通告 各 自 接 口 所 在 网 段 ，R1 在 RIP 中 仅 
通告 GE 0/0/0 接口 所 在 网 段 。 


[Rl]jrip 1 

区 1-rip-1]jversion 2 
[R1l-rip-1]undo summary 
[Rl-rip-l]network 172.16.0.0 


[R2]rip 1 

[R2-rip-1]version 2 

[R2-rip-l]jundo summary 

[R2-rip-l]network 172.16.0.0 

公司 B 内 部 运行 OSPF 协议 。 在 R1 和 R3 上 配置 OSPF， 使 用 进程 号 1， 所 有 网 段 
都 属于 区 域 0，R1 在 OSPF 中 仅 通告 GE 0/0/1 接口 所 在 网 段 。 


[Rl]Jospf 1 
[RI1-ospf-l]area 0 
[R1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-1jarea 0 

[R3-ospf1]jnetwork 192.168.2.0 0.0.0.255 

[R3-0spf-1]network 192.168.1.0 0.0.0.255 

配置 完成 后 查看 R1 的 路 由 表 。 

[Rlldisplay ip routing-table 

Route Flags: R - relay, D - download to fib 

Routing Tables: Public 

Destinations : 8 Routes :8 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
me i D 172.16.2.2 GigabitEthermetO/0/0 
172.16.2.0/24 Direct 0 0 D 172.16.2.1 GigabitEthernet0/0/0 
172.16.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.0/24 OSPF 10 2 D 192.168.2.3 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.1 GigabitEthernet0/0/1 

192.168.2.1/32 Direct 0 0 D 

0 > 


127.0.0.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 127.0.0.1 InLoopBack0 


由 于 R1 上 同时 运行 了 rr 协议 和 oe 协议 ,可 以 观察 到 Rl 同时 拥有 公司 A 和 公 
司 B 的 路 由 信息 。 
查看 R2 和 R3 的 路 由 表 。 


[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
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ee 


Routing Tables: Public 
Destinations : 6 Routes :6 


Destination/Mask ， Proto Pre Cost-: Flags NextHop Interface 
172.16.1.0/24 Dinset 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172,16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16:2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/0 
172.16.2.2132 Direct /0 0 D 127:0.01 GigabitEthernet0/0/0 

127.0.0.0/8 Direct | 0 0 D 127,0.0,1 InLoopBack0 
127.0.0.1/32 Direct 6 0 D 127.0.0.1 InLoopBack0 


[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 
Destination/Mask Proto Pre ，Gost . Flags NextHop Interface 

192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthemet0/0/0 
192.1681 ,2354132 Drect' 10 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 0 D 192.168.2.3 GigabitEthemet0/0/1 
192168.2.31382 Direct 0 0 D 127.0.0,1 GigabitEthernet0/0/1 

127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 

12720.0.132 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 此 时 在 R2 和 R3 上 都 只 拥有 本 公司 的 路 由 信息 。 测 试 PC-1 与 PC-2 
间 的 连通 性 。 

PC>ping 192.168.1.1 

Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

可 以 观察 到 ， 公 司 A 和 公司 B 之 间 的 PC 也 无 法 进行 通信 。 

3. 配置 RIP 发 布 默认 路 由 

公司 A 需要 能 访问 公司 B 的 网 络 ， 而 公司 B 为 了 保护 自身 网 络 私密 性 ， 不 希望 公 
司 A 获知 自身 内 部 网 络 的 明细 路 由 ， 这 时 可 以 在 R1 的 RIP 协议 进程 中 发 布 默认 路 由 ， 
使 公司 A 能 在 没有 公司 B 的 明细 路 由 的 情况 下 访问 公司 B 的 网 络 。 

在 Rl 的 RIP 进程 中 ， 使 用 default-route originate 命 令 发 布 默认 路 由 。 

[Rllrip1 IN 

[RI 0 originate 

配置 完成 后 ， 在 R2 上 查看 路 由 表 。 

[R2]display ip routing-table 

Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 心 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Routing Tables: Public 





， Destinations:7 | Routes :7 
Destination/Mask Proto Pre ‘Cost "Flags NextHop Interface 
00000 ioo 1 DV nie GigabitEthernet0/0/0 
172.16.1.0/24 ~ Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 ”Direct 0 0 D 127.0.0.1 GigabitBthernetO0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2,2 GigabitEthernet0/0/0 
172.162.2/32 Direct 0 0 D 127.0.04 GigabitEthernet0/0/0 
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127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 ” Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 R2 上 有 一 条 从 RIP 协议 获取 来 的 默认 路 由 ， 通 过 这 条 默认 路 由 ， 公 司 
A 可 以 访问 公司 B 的 网 络 。 

4. 配置 OSPF 发 布 默认 路 由 

为 了 能 够 实现 通信 ， 公 司 B 也 需要 访问 公司 A 的 网 络 ， 而 公司 A 同样 为 了 保护 自身 网 
络 私密 性 ， 不 希望 公司 B 获知 自身 内 部 网 络 的 明细 路 由 。 这 时 可 以 在 Rl 的 OSPF 协议 进程 
中 发 布 默认 路 由 ， 使 公司 B 能 在 没有 公司 A 的 明细 路 由 的 情况 下 能 够 访问 公司 A 的 网 络 。 

在 Rl 的 OSPF 进程 中 ， 使 用 default-route-advertise always 命令 发 布 默认 路 由 。 


[R1]ospf1 
[R1-ospfljdefault-route-advertise always 
配置 完成 后 ， 在 R3 上 查看 路 由 表 。 
[R3]display ip routing-table 
Route Flags: R - relay, D - downioad to fib 
Routing Tabjes: Public 
Destinations : 7 Routes:7 

Flags NextHop Interface 

D 192.168.2.1 GigabitEthernet0/0/1 
192.168.1.0/24 Direct 0 D 192.168.1.254 GigabitEthernet0/0/0 
192.168.1.254/32 Direct D 
D 
D 
1 
D 


0 127.0.0.1 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 

0 

0 


192.168.2.3 GigabitEthernet0/0/1 
127.0.0.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 127.0.0.1 InLoopBack0 
127.0.0.1/32 ” Direct 0 127.0.0.1 InLoopBack0 
可 以 观察 到 R3 上 有 一 条 通过 OSPF 协议 获得 的 默认 路 由 ， 通 过 这 条 默认 路 由 ， 公 
司 B 可 以 访问 公司 A 的 网 络 。 
再 次 验证 PC-1 与 PC-2 之 间 的 连通 性 。 
PC>ping 192.168.1.1 
Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: bytes=32 seq=] ttl=125 time=109 ms 
From 192.168.1.1: bytes=32 seq=2 ttl=125 time=78 ms 
From 192.168.1.1: bytes=32 seq=3 ttl=125 time=78 ms 
From 192.168.1.1: bytes=32 seq=4 ttl=125 time=94 ms 
From 192.168.1.1: bytes=32 seq=5 ttl=125 time=62 ms 
--- 192.168.1.1 ping statistics -~ 
5 packet(s) transmitted 
5 packet(s) received 一 
0.00% packet loss 
round-trip min/avg/max = 62/84/109 ms 
通过 观察 可 以 看 到 此 时 PC 之 间 能 够 正常 通信 。 
通过 配置 看 到 在 RIP 和 OSPF 中 都 可 以 为 各 自 路 由 协议 发 布 默认 路 由 。 配置 默认 路 由 在 
可 以 保证 网 络 的 可 达 性 的 情况 下 , 不 仅 可 以 保护 网 络 的 私密 性 , 同时 能 够 有 效 减少 路 由 表 中 
路 由 条 目的 数量 ， 使 得 路 由 器 不 需要 维护 大 量 的 路 由 信息 ， 同 时 其 配置 和 维护 相对 简单 。 


思考 


在 本 实验 的 步骤 4 中 ,OSPF 发 布 默认 路 由 时 使 用 到 了 default-route advertise always 
命令 ， 如 果 末 尾 不 加 always 参数 ， 会 出 现 什么 情况 ? 如 何 解 决 ? 


192.168.2.3/32 Direct 








第 9 鞋 
VRRP 








9.1 VRRP 基 本 配置 
9.2 ”配置 VRRP 多 备份 组 
9.3 配置 VRRP 的 跟踪 接口 及 认证 
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9.1 VRRP 基本 配置 


原理 概述 


随 着 Internet 的 发 展 ， 人 们 对 网 络 可 靠 性 的 要 求 越 来 越 高 。 对 于 用 户 来 说 ， 能 
时 刻 与 外 部 网 络 保持 通信 非常 重要 , 但 内 部 网 络 中 的 所 有 主机 通常 只 能 设置 一 个 网 关 
IP 地 址 ， 通 过 该 出 口 网 关 实 现 主机 与 外 部 网 络 的 通信 。 若 此 时 出 口 网 关 设 备 发 生 故 
障 , 主机 与 外 部 网 络 的 通信 就 会 中 断 ， 所 以 配置 多 个 出 口 网 关 是 提高 网 络 可 靠 性 的 常 
用 方法 。 为 此 ，IETF 组 织 推出 了 VRRP 协议 ， 主 机 在 多 个 出 口 网 关 的 情况 下 ， 仅 需 
配置 一 个 虚拟 网 关 IP 地 址 作为 出 口 网 关 即 可 ， 解 决 了 局 域 网 主机 访问 外 部 网 络 的 可 
靠 性 问题 。 

VRRP (Virtual Router Redundancy Protocol) 全 称 是 虚拟 路 由 器 见 余 协议 ， 它 是 一 种 
容错 协议 。 该 协议 通过 把 几 台 路 由 设备 联合 组 成 一 台 虚 拟 的 路 由 设备 ， 该 虚拟 路 由 器 在 
本 地 局 域 网 拥有 唯一 的 一 个 虚拟 ID 和 虚拟 IP 地 址 。 实 际 上 ， 该 虚拟 路 由 器 是 由 一 个 
Master 设备 和 若干 Backup 设备 组 成 。 正 常情 况 下 ， 业 务 全 部 由 Master 承担 ， 所 有 用 户 
端 仅 需 设置 此 虚拟 IP 为 网 关 地 址 。 当 Master 出 现 故障 时 ，Backup 接替 工作 ， 及 时 将 业 
务 切 换 到 备份 路 由 器 ,从 而 保持 通信 的 连续 性 和 可 靠 性 。 而 用 户 端 无 需 做 任何 配置 更 改 ， 
对 故障 无 感知 。 

VRRP 的 Master 选举 基于 优先 级 ， 优 先 级 取 值 范围 是 0~255， 默 认 情况 下 ， 配 置 优 
先 级 为 100。 在 接口 上 可 以 通过 配置 优先 级 的 大 小 来 手工 选择 Master 设备 。 


实验 目的 


。 理解 VRRP 的 应 用 场景 

。 掌握 VRRP 虚拟 路 由 器 的 配置 

。 掌握 修改 VRRP 优先 级 的 方法 

。 掌握 查看 VRRP 主 备 状态 的 方法 
实验 内 容 

本 实验 模拟 企业 网 络 场 景 。 公司 内 员工 所 用 电脑 , 如 PC-1、PC-2, 通过 交换 机 LSWI1 
连接 到 公司 网 络 ，LSW1 连接 到 公司 出 口 网 关 路 由 器 。 为 了 提高 网 络 的 可 靠 性 ， 公 司 使 
用 两 台 路 由 器 R2 与 R3 作为 双 出 口 连接 到 外 网 路 由 器 R1。R1、R2、R3 之 间 运 行 OSPF 
协议 。 在 双 网 关 的 情况 下 ， 如 果 在 PC 上 配置 R2 或 R3 的 真实 IP 地 址 作为 网 关 ， 当 其 中 
一 台 路 由 器 故障 时 ， 就 需要 手动 更 改 PC 的 网 关 IP， 若 网 络 中 有 大 量 PC 则 需要 耗费 大 
量 时 间 和 人 力 去 更 改 配置 ， 且 会 带 来 一 定时 间 的 断 网 影响 。 为 了 能 够 使 故障 所 造成 的 断 
网 影响 达到 最 小 化 ， 增 强 网 络 的 可 靠 性 ， 网 络 管理 员 在 R2 与 R3 之 间 部 署 VRRP 协议 ， 
这 样 当 任 一 网 关 发 生 故 障 时 就 能 自动 切换 而 无 需 更 改 PC 的 网 关 卫 地 址 。 


实验 拓扑 
VRRP 基本 配置 的 拓扑 如 图 9-1 所 示 。 
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图 9-1 VRRP 基本 配置 拓扑 
实验 编 址 
实验 编 址 见 表 9-1。 


表 9-1 
Ry 
R1 (AR1220) 


实验 编 址 
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R3 (AR1220) 














172.16.1.254 
172.16.1.254 









实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 
[RIil]ping 172.16.2.100 
PING 172.16.2.100: 56 data bytes, press CTRL_C to break 
Reply from 172.16.2.100: bytes=56 Sequence=1 ttl=255 time=110 ms 
Reply from 172.16.2.100: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 172.16.2.100: bytes=56 Sequence=3 ttl=255 time=] ms 
Reply from 172.16.2.100: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 172.16.2.100: bytes=56 Sequence=5 ttl=255 time=50 ms 
—- 172.16.2.100 ping statistics --- 
5 packet(s) transmitted 
$5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/38/110 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
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2. 部 署 OSPF 网 络 

在 公司 的 出 口 网 关 路 由 器 R2、R3 和 外 网 路 由 器 R1 上 配置 OSPF 协议 , 使 用 进程 号 
1， 且 所 有 网 段 均 通 告 进 区 域 0 中 。 

[R1]lospf 1 

[Rl1-ospf-l]area 0 

[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 

[R1-ospf-1-area-0.0.0.0Inetwork 172.16.3.0 0.0.0.255 


[R2]ospf 1 

[R2-ospf-1jarea 0 

[R2-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 


[R3]Jospf 1 

[R3-ospf-1]area0 

[R3-osp 人 1-area-0.0.0.0jnetwork 172.16.1.0 0.0.0.255 
[R3-0spf-1-area-0.0.0.0jnetwork 172.16.3.0 0.0.0.255 


配置 完成 后 ， 在 R1 上 检查 OSPF 邻居 建立 情况 。 


[Rl]display ospf peer brief 
OSPF Process 1 with Router-ID 172.16.2.254 
Peer Statistic Information 
Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/0 172.16.2.100 Full 
0.0.0.0 GigabitEthernet0/0/1 172.16.3.200 Full 


可 以 观察 到 ， 此 时 Rl 已 经 与 R2、R3 成 功 建立 起 了 OSPF 邻居 关系 。 

3. 配置 VRRP 协议 

为 了 提高 网 络 的 可 靠 性 ， 公 司 采 用 双 出 口 的 方式 连接 到 外 网 。 现 网 络 管理 员 
想 针 对 两 台 出 口 网 关 路 由 器 实现 主 备 备份 ， 即 正常 情况 下 ， 只 有 主 网 关 工 作 ， 当 
其 发 生 故 障 时 能 够 自动 切换 到 备份 网 关 。 现 在 通过 配置 VRRP 协议 来 实现 这 样 的 

在 R2 和 R3 上 配置 VRRP 协议 ,使 用 vrrp vrid 1 virtual-ip 命令 创建 VRRP 备份 组 ， 
指定 即 R1 和 R2 处 于 同一 个 VRRP 备份 组 内 ，VRRP 备份 组 号 为 1， 配 置 虚拟 IP 为 
172.16.1.254。 注 意 虚 拟 IP 地 址 必须 和 当前 接口 在 同一 网 段 。 

[R2]interface ethernet1/0/1 

[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 





[R3]Jinterface ethernet1/0/1 
区 3-Ethernetl/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 


经 过 配置 后 ，PC 将 使 用 虚拟 路 由 器 卫 地 址 作为 默认 网 关 。 

在 VRRP 协议 中 ， 优 先 级 决定 路 由 器 在 备份 组 中 的 角色 ， 优 先 级 高 者 成 为 Master。 
如 果 优 先 级 相同 ， 比 较 接 口 的 卫 地 址 大 小 ， 较 大 的 成 为 Master。 优 先 级 值 默认 为 100， 
0 被 系统 保留 ，255 保留 给 IP 地 址 拥有 者 使 用 。 

现在 配置 R2 的 优先 级 为 120，R3 的 优先 级 保持 默认 100 不 变 ， 这 将 使 得 R2 成 为 
Master，R3 为 Backup。 

[R2-Ethernet1/0/1]vrrp vrid 1 priority 120 
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配置 完成 后 ， 在 R2 和 R3 上 使 用 display vrrp 命令 查看 VRRP 信息 。 


可 以 观察 到 现在 R2 的 VRRP 状态 是 Master，R3 是 Backup。 两 者 都 处 在 VRRP 备 
份 组 1 中 ， 且 都 是 E 1/0/1 接口 运行 在 VRRP 协议 中 。 输 出 信息 中 的 PriorityRun 表示 设 
备 当前 的 运行 优先 级 PriorityConfig 表示 为 该 设备 配置 的 优先 级 ; MasterPriority 为 该 备 
份 组 中 Master 的 优先 级 ; 一 般配 置 优先 级 就 是 运行 优先 级 ,但 个 别 情况 下 可 能 运行 优先 
级 和 配置 优先 级 会 不 一 样 ， 在 后 续 实验 中 会 进行 讨论 。 

也 可 以 使 用 display vrrp brief 或 display vrrp interface 命令 来 显示 VRRP 的 工作 状 
态 ， 以 R2 为 例 。 


“测试 PC 访问 公 网 时 的 数据 包 转发 路 径 。 
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1 172.16.1.100 32ms 31ms 15ms 
2 172.16.2.254 63ms 62ms 47ms 
可 以 观察 此 时 都 是 通过 R2 转发 。 
4. 验证 VRRP 主 备 切 换 
现在 手动 模拟 网 络 出 现 故 障 ， 将 LSW1 的 E 0/0/1 接口 关闭 。 
[LSW1l]interface ethernetO/O/1 
[LSW1-EthernetO/0/1]shutdown 
经 过 3s 左右 ， 使 用 display vrrp 查看 R3 的 VRRP 信息 。 
[R3]display vrrp | 
Ethernet1/0/1 | Virtual Router 1 
State : Master 
Virtual IP : 172.16.1.254 
Master IP : 172.16.1.200 
PriorityRun : 100 
PriorityConfig ; 100 
MasterPriority : 100 
Preempt:YES DelayTime:0s 


可 以 观察 到 R3 切换 成 为 了 Master， 从 而 能 够 确保 用 户 对 公 网 的 访问 ， 几 乎 感知 不 
到 故障 的 发 生 。 

测试 PC 访问 公 网 时 的 数据 包 转 发 路 径 。 

PC>tracert 172.16.2.254 

traceroute to 172.16.2.254, 8 hops max 

(ICMP), press Ctri+C to stop 

1 172.16.1.200 63ms 15 ms 32ms 

2 172.16.2.254 62ms 62ms 32ms 


发 现 数 据 包 发 送 路 径 已 经 切换 到 R3。 
如 果 R2 从 故障 中 恢复 ， 手 动 开 启 LSW1 的 E 0/0/1 接口 。 


[LWS1Jinterface ethernet0/0/1 

[LSW1-Ethernet0/0/1lundo shutdown 

查看 R2 和 R3 的 VRRP 工作 状态 。 

[R2]display vrrp brief 

Total:1 Master:1 Backup:0 Non-active:0 

VRID State Interface - Type Virtual IP 

1 Master Eth1/0/1 Normal 172.16.1.254 
[R3]display vrrp brief 

Total:1 Master:1 Backup:0 Non-active:0 

VRID State Interface Type Virtual IP 

1 Backup Eth1/0/1 Normal 172.16.1.254 


可 以 观察 到 Master 设备 又 立刻 重新 切换 回 至 R2。 

测试 PC 访问 公 网 时 的 数据 包 转 发 路 径 。 

PC>tracert 172.16.2.254 本 
traceroute to 172.16.2.254, 8 hops max 

(ICMP), press Ctrl+C to stop 

1 172.16.1.100 47ms 47ms 46ms 

2 172.16.2.254 78ms 78ms 62ms 


可 以 验证 也 切换 回 R2 转发 。 而 这 整个 过 程 对 于 用 户 来 说 是 透明 的 。 
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思考 
如 果 主 路 由 器 出 现 故 障 ， 比 如 断 电 停机 了 ， 备 份 路 由 器 是 通过 什么 机 制 检测 到 的 ? 


9.2 配置 VRRP 多 备份 组 


原理 概述 


当 VRRP 配置 为 单 备份 组 时 ， 业 务 全 部 由 Master 设备 承担 ， 而 Backup 设备 完全 处 
于 空闲 状态 ， 没 有 得 到 充分 利用 。VRRP 可 以 通过 配置 多 备份 组 来 实现 负载 分 担 ， 有 效 
地 解决 了 这 一 问题 。 

VRRP 人 允许 同一 台 设 备 的 同一 个 接口 加 入 多 个 VRRP 备份 组 ， 在 不 同 备份 组 中 有 不 
同 的 优先 级 ， 使 得 各 备份 组 中 的 Master 设备 不 同 ， 也 就 是 建立 多 个 虚拟 网 关 路 由 器 。 各 
主机 可 以 使 用 不 同 的 虚拟 组 路 由 器 作为 网 关 出 口 ， 这 样 可 以 达到 分 担 数据 流 而 又 相互 备 
份 的 目的 ， 充 分 利用 了 每 一 台 设 备 的 资源 。 

VRRP 的 优先 级 取 值 范围 中 ，255 是 保留 给 人 P 地 址 拥有 者 使 用 的 ， 当 一 个 VRRP 路 
由 器 的 物理 端口 下 地 址 和 虚拟 路 由 器 的 虚拟 下 地 址 相同 ， 这 人 台 路 由 器 称 为 虚拟 IP 地 址 
拥有 者 ，VRRP 优先 级 自动 设置 为 255; 优先 级 0 也 是 特殊 值 ， 当 Master 设备 删除 VRRP 
配置 停止 运行 VRRP 时 ， 会 发 送 优先 级 为 0 的 VRRP 报 文通 知 Backup 设备 ， 当 Backup 
收 到 该 消息 后 ， 立 刻 从 Backup 状态 转 为 Master 状态 。 


实验 目的 


理解 VRRP 多 备份 组 的 应 用 场景 

掌握 VRRP 多 备份 组 的 配置 方法 

理解 VRRP 的 运行 优先 级 和 配置 优先 级 
理解 VRRP 虚拟 地 址 拥有 者 的 应 用 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 该 公司 使 用 两 台 路 由 器 R2 和 R3 作为 出 口 网 关连 接 到 外 
网 R1，R2 和 R3 运行 VRRP 协议 ， 两 台 路 由 器 在 同一 个 虚拟 组 。 当 R2 为 主 路 由 器 时 ， 
所 有 业务 流量 都 由 R2 承担 ， 高 峰 期 时 会 造成 网 络 阻塞 ， 而 R3 一 直 处 于 空闲 状态 ， 这 样 
就 造成 了 一 台 路 由 器 资源 的 浪费 。 现 在 为 了 优化 公司 网 络 ， 增 加 设备 利用 率 ， 需 要 在 R2 
和 R3 之 间 部 署 双 备 份 组 VRRP， 使 得 R2、R3 分 别 为 两 个 备份 组 的 Master， 保 证 设备 的 
利用 率 。 


实验 拓扑 
配置 VRRP 多 备份 组 的 拓扑 如 图 9-2 所 示 。 
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图 9-2 配置 VRRP 多 备份 组 拓扑 


实验 编 址 


实验 编 址 见 表 9-2。 
表 9-2 实验 编 址 





| ns 









R1 (AR1220) 
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172.16.1.254 
172.16.1.253 






实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 
PC>ping 172.16.1.2 和 
Ping 172.16.1.2: 32 data bytes, Press Ctrl_C to break 
From 172:16.1.2: bytes=32 seq=1 ttl=128 time=31 ms 
From 172.16.1.2: bytes=32 seq=2 ttl=128 time=32 ms 
From 172.16.1.2; bytes=32 seq=3 ttl=128 time=31 ms 
From 172.16.1.2: bytes=32 seq=4 ttl=128 time=15 ms 
From 172.16.1.2: bytes=32 seq=5 ttl=128 time=16 ms 
-~ 172.16.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 15/25/32 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
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2， 部署 OSPF 网 络 


在 公司 的 出 口 网 关 路 由 器 R2、R3 和 外 网 路 由 器 R1 上 配置 OSPF 协议 , 使 用 进程 号 
1， 且 所 有 网 段 均 通告 进 区 域 0 中 。 


配置 完成 后 ， 在 R1 上 检查 OSPF 邻居 建立 情况 。 


可 以 观察 到 ， 此 时 R1 已 经 与 R2、R3 成 功 建立 起 了 OSPF 邻居 关系 。 

3.， 配置 VRRP 双 备 份 组 

为 了 提高 网 络 的 可 靠 性 ， 公 司 采 用 双 出 口 的 形式 连接 到 外 网 。 但 是 如 果 采 用 普通 的 
VRRP 单 备 份 组 配置 ， 就 会 有 一 台 设 备 处 在 空 亲 状态。 为 了 提高 设备 的 利用 率 ， 网 络 管 
理 员 决 定 采用 双 备 份 组 的 配置 ， 使 得 不 同 的 设备 成 为 不 同 备份 组 中 的 Master， 一 起 承担 
网 络 流量 。 ， 

在 R2 和 R3 上 创建 VRRP 虚拟 组 1， 虚 拟 瑟 为 172.16.1.254， 指 定 R2 的 优先 级 为 
120，R3 的 优先 级 保持 默认 优先 级 不 变 。 


配置 完成 后 ， 分 别 查 看 R2 和 R3 的 VRRP 信息 。 
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可 以 观察 到 ，R2 为 组 1 的 Master，R3 为 Backup。 
在 R2 和 R3 上 创建 VRRP 虚拟 组 2， 虚 拟 IP 为 172.16.1.253， 指 定 R3 的 优先 级 为 
120，R2 的 优先 级 保持 默认 优先 级 不 变 。 


配置 完 后， 分 别 吉 看 R2 和 R3 的 VRRP 信息 。 


可 以 观察 到 ，R3 为 组 2 的 Master，R2 为 Backup。 
在 PC-1 上 设置 网 关 地 址 为 172.16.1.254，PC-2 上 设置 网 关 地 址 为 172.16.1.253， 并 
在 PC-1 上 执行 tracert 172.16.2.254 命令 ，PC-2 上 执行 tracert 172.16.3.254 命令 。 


观察 发 现 PC-1 现在 是 通过 R2 访问 外 网 ，PC-2 现在 是 通过 R3 访问 外 网 ， 实 现 了 网 
络 优化 的 需求 。 

4. 验证 VRRP 抢占 特性 

在 虚拟 组 2 中 R3 为 Master 路 由 器 , 优先 级 为 120。 现在 虚拟 组 2 中 修改 R2 的 抢占 
模式 为 非 抢 占 方式 〈 默 认 是 抢占 方式 )， 并 将 优先 级 改 为 200， 即 大 于 R3 的 优先 级 。 


配置 完成 后 ， 在 R2 上 查看 虚拟 组 2 的 信息 。 
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State : Backup 

Virtual IP : 172.16.1.253 
Master IP : 172.16.1.200 
PriorityConfig : 200 
MasterPriority : 120 
Preempi : NO 
TimerRun:1s 


可 以 观察 到 ， 尽管 R2 的 配置 优先 级 大 于 R3, 并 且 最 终 运 行 优 先 级 也 大 于 R3, 但 是 
由 于 R2 是 非 抢 占 模式 ，R2 不 会 抢占 成 为 Master。 

5， 配置 虚拟 IP 拥 有 者 

在 虚拟 组 1 中 ，R2 的 配置 优先 级 为 120，R3 的 配置 优先 级 为 默认 的 100，R2 暂时 
是 虚拟 组 1 的 Master 路 由 器 。 现 在 网 络 管理 员 为 了 保证 R2 在 虚拟 组 1 始终 是 Master， 
在 R2 的 E 1/0/1 接口 上 修改 卫 地 址 为 172.16.1.254/24， 这 样 R2 就 成 为 了 该 虚拟 组 的 虚 
拟 IP 地 址 拥有 者 。 


[R2]interface Ethernet 1/0/1 
[R2-Ethernet1/0/1lip address 172.16.1.254 24 


配置 完成 后 ， 更 改 R3 在 虚拟 组 1 的 配置 优先 级 为 可 配 的 最 大 值 254， 这 样 R3 的 配 
置 优先 级 就 大 于 现在 R2 的 配置 优先 级 。 

[R3]interface Ethernet 1/0/1 

[R3-Ethernet1/0/11vrrp vrid 1 priority 254 


配置 完成 后 ， 使 用 display vrrp brief 命令 查看 主 备 状态 。 


[R3]display vrrp brief 

VRID State Interface Type Virtual IP 

1 Backup Eth1/0/1 Normal 172.16.1.254 
2 Master Eth1/0/1 Normal 172.16.1.253 


PP ee 
观察 发 现 R3 无 法 抢占 成 为 虚拟 组 1 的 Master。 
查看 R2 上 的 VRRP 信息 。 


[R2]display vrrp 

Ethernetl/0/1 | Virtual Router 1 
State : Master 

Virtual IP : 172.16.1.254 
RE 172.16.1.254 


可 以 观察 到 ， 虽 然 R2 在 虚拟 组 1 的 配置 优先 级 为 120， 但 是 在 成 为 了 虚拟 IP 地 址 
拥有 者 之 后 ， 其 运行 优先 级 为 255， 高 于 R3 的 优先 级 254， 所 以 R3 无 法 抢占 成 为 该 组 
的 Master。 这 再 次 验证 了 Master 的 选举 及 抢占 都 是 比较 运行 优先 级 。 


思考 
在 步骤 4 中 ， 如 果 将 R2 配置 成 为 虚拟 组 2 的 虚拟 IP 拥有 者 ， 试 问 此 时 R2 能 否 抢 
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占 成 为 Master? 


9.3 配置 VRRP 的 跟踪 接口 及 认证 


原理 概述 


当 VRRP 的 Master 设备 的 上 行 接口 出 现 问题 , 而 Master 设备 一 直 保 持 Active 状态 ， 
那么 就 会 导致 网 络 出 现 中 断 ， 所 以 必须 要 使 得 VRRP 的 运行 状态 和 上 行 接 口 能 够 关联 。 
在 配置 了 VRRP 元 余 的 网 络 中 , 为 了 进一步 提高 网 络 可 靠 性 , 需要 在 Master 设备 上 配置 
上 行 接口 监视 ， 监 视 连 接 了 外 网 的 出 接口 。 即 当 此 接口 断 掉 时 ， 自 动 减 小 优先 级 一 定 的 
数值 (该 数值 由 人 为 配置 ), 使 减 小 后 的 优先 级 小 于 Backup 设备 的 优先 级 ， 这 样 Backup 
设备 就 会 抢占 Master 角色 接替 工作 。 

VRRP 支持 报 文 的 认证 。 默 认 情 况 下 ， 设 备 对 要 发 送 和 接收 的 VRRP 报 文 不 进行 任 
何 认证 处 理 ， 认 为 收 到 的 都 是 真实 的 、 合 法 的 VRRP 报 文 。 为 了 使 VRRP 运行 更 加 安全 
和 稳定 ， 可 以 配置 VRRP 的 认证 。VRRP 支持 简单 字符 (Simple) 认证 方式 和 MD5 认证 
方式 ， 用 户 可 根据 安全 需要 选择 认证 方式 。 


实验 目的 


。 理解 VRRP 监视 接口 的 应 用 场景 
e 掌握 VRRP 监视 接口 的 配置 方法 
。 掌握 VRRP 认证 的 配置 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 该 公司 使 用 两 台 路 由 器 R2 和 R3 作为 出 口 网 关连 接 到 
外 网 路 由 器 R1， 且 R2 和 R3 运行 VRRP 协议 ， 两 台 路 由 器 在 同一 个 虚拟 组 1，R2 为 
Master 路 由 器 。 一 次 公司 网 络 故障 ， 突 然 所 有 主机 都 不 能 访问 外 网 了 ， 经 检查 发 现 是 
R2 与 外 网 路 由 器 R1 之 间 的 链 路 断 掉 了 ， 而 VRRP 的 Master 角色 并 没有 发 生 切 换 ， 所 
有 流量 仍 发 送 给 R2， 导 致 无 法 访问 外 网 。 现 在 需 对 此 网 络 进行 优化 ， 进 一 步 提 高 可 靠 
性 和 安全 性 ， 需 要 在 Master 设备 上 做 VRRP 的 上 行 接口 监视 ， 当 上 行 接口 故障 时 ， 自 
动 降低 VRRP 优先 级 使 Backup 设备 能 抢占 Master 角色 ， 接 蔡 工 作 ; 当 链 路 恢复 时 ， 
R2 又 能 自动 切换 回 Master 设备 ， 并 且 在 Master 与 Backup 设备 之 间 配 置 VRRP 认证 ， 
提高 安全 性 。 


实验 拓扑 
配置 VRRP 的 接口 监视 及 认证 的 拓扑 如 图 9-3 所 示 。 
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Ethernet 0/0/1 T21633100, » 12162:100 


Ethernet 1/0/1 











Ethernet 0/0/3 (is Ethernet 0/0/1 


Ethernet 0/0/4 






Ethernet 0/0/2 





Ethernet 0/0/1 i 
ee ma ES ss 
PC-2 R3 
WEI6:1.2 
图 9-3 配置 VRRP 的 接口 监视 及 认证 拓扑 
实验 编 址 
实验 编 址 见 表 9-3。 


表 9-3 实验 编 址 


GE 0/0/1 172.16.3.254 255.255.255.0 
GE 0/0/0 172.16.2.100 255.255.255.0 


Ethernet 1/0/1 172.16.1.100 233.235.254.0 
GE 0/0/1 172.16.3.200 255.255.255.0 













R1 (AR1220) 


R2 (AR1220) 







R3 (AR1220) 


Ethernet 1/0/1 172.16.1.200 255.255.255.0 
Ethernet 0/0/1 172.16.1.1 255.255.255.0 
Ethernet 0/0/1 【72.16.1.2 255.255:255.0 


172.16.1.254 
172.16.1.254 








实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 
[R2lping 172.16.1.1 
PING 172.16.1.1: 56 data bytes, press CTRL _C to break 
Reply from 172.16.1.1: bytes=56 Sequence=] ttl=128 time=80 ms 
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=128 time=50 ms 
Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=128 time=40 ms 
Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=128 time=30 ms 
Reply from 172.16.1.1: bytes=56 Sequence=5 ttl=128 time=20 ms 
~- 172.16.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 20/44/80 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
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2. 部 署 OSPF 网 络 

在 公司 的 出 口 网 关 路 由 器 R2、R3 和 外 网 路 由 器 R1 上 配置 OSPF 协议 , 使 用 进程 号 
1， 且 所 有 网 段 均 通告 进 区 域 0 中。 

[Ri]lospf 1 

区 1-ospf-1]area 0 

[R1-ospf-1-area-0.0.0.0Inetwork 172.16.2.0 0.0.0.255 

[R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 


[R2]ospf 1 

[R2-ospf-1]area0 

[R2-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 


[R3]ospf 1 
[R3-ospf-l]Jarea 0 
[R3-ospf-1-area-0.0.0.0Jjnetwork 172.16.1.0 0.0.0.255 
[R3-ospf1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 
配置 完成 后 ， 在 R1 上 检查 OSPF 邻居 建立 情况 。 
[Rildisplay ospfpeer brief 

OSPF Process 1 with Router-ID 172.16.2.254 


Peer Statistic Information 
Area Id JInterface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/0 172.16.2.100 Full 
0.0.0.0 GigabitEthernet0/0/1 | 172.16.3,200 Full 


可 以 观察 到 ， 此 时 Rl 已 经 与 R2、R3 成 功 建立 起 了 OSPF 邻居 关系 。 

3. VRRP 基本 配置 

为 了 提高 网 络 可 靠 性 , 公司 采用 双 出 口 组 网 , 并 采用 VRRP 协议 实现 网 关 设 备 元 余 。 
在 R2 与 R3 上 创建 同一 个 虚拟 组 ， 虚 拟 ID 为 1， 虚拟 卫 为 172.16.1.254， 其 中 调整 R2 
优先 级 为 120， 使 R2 成 为 Master，R3 上 的 优先 级 不 变 。 

[R2]interface ethernet1/0/1 


[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 
[R2-Ethernet1/0/1]vrrp vrid 1 priority 120 


[R3]interface ethernet1/0/1 
[R3-Ethermnet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 


配置 完成 后 ， 查 看 R2、R3 上 的 VRRP 信息 。 


[R2]display vrrp 
Ethermet1/0/1 | Virtual Router 1 
State : Master 
Virtual IP : 172.16.1.254 
Master IP ; 172.16.1.100 
PriorityRun : 120 
PriorityConfig : 120 
MasterPriority : 120 


ree 


[R3]display vrrp 
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可 以 观察 到 R2 现 为 Master，R3 为 Backup。 
此 时 公司 网 络 发 生 故 障 ，R2 与 外 网 路 由 器 R1 之 间 的 链 路 出 现 问题 ， 无 故 断 掉 。 关 
掉 Rl 的 GE 0/0/0 接口 模拟 该 故障 。 





配置 完成 后 ， 查 看 主 备 的 切换 情况 。 





观察 到 路 由 器 R2 的 Master 角色 并 没有 发 生 切 换 ， 所 有 流量 仍 发 送 给 R2， 导 致 此 时 
用 户 无 法 访问 外 网 ， 连 通 性 测试 此 处 省 略 。 即 VRRP 无 法 通过 感知 上 行 接口 发 生 故障 来 
完成 主 备 设备 切换 。 

4. 配置 上 行 接口 监视 

为 了 进一步 提高 网 络 的 可 靠 性 和 安全 性 ， 需 要 在 Master 设备 R2 上 配置 VRRP 的 上 
行 接口 监视 。 当 R2 的 上 行 接口 发 生 故障 时 ， 将 自动 降低 优先 级 使 得 Backup 设备 能 抢占 
Master 角色 ， 接 替 工 作 ， 将 网 络 中 断 所 造成 的 影响 最 小 化 。 

在 RL 上 恢复 GE 0/0/0 接口 ,并 在 R2 上 配置 上 行 接口 监视 .监视 上 行 接口 GE 0/0/0， 
当 此 接口 断 掉 时 ， 裁 减 优先 级 50， 使 优先 级 变 为 70， 小 于 R3 的 优先 级 100。 










配置 完成 后 ， 关 闭 RI 的 .GE 0/0/0 接口 模拟 故障 发 生 ， 并 使 用 display vrrp 命令 查 
看 主 备 的 切换 情况 。 
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可 以 观察 到 , 当 R2 上 监视 指定 接口 的 状态 为 DOWN 时 , VRRP 优先 级 被 裁减 掉 50， 
变 成 70， 小 于 路 由 器 R3 的 优先 级 100， 由 于 R3 的 VRRP 默认 为 抢占 模式 ， 从 而 变 成 了 


Backup， 由 R3 成 为 新 的 Master 并 继续 网 络 的 转发 。 默 认 情况 下 ， 当 被 监视 的 接口 变 为 
DOWN 时 ，VRRP 优先 级 的 数值 降低 10。 

5. 在 R2 和 R3 上 配置 VRRP 认证 

默认 情况 下 ， 设 备 对 要 发 送 的 VRRP 报 文 不 进行 任何 认证 处 理 ， 收 到 VRRP 报 文 的 
设备 也 不 进行 任何 检测 ， 认 为 收 到 的 都 是 真实 的 、 合 法 的 VRRP 报 文 。 可 以 通过 配置 更 
改 VRRP 的 认证 模式 ， 使 VRRP 对 报 文 进行 验证 ， 从 而 增强 安全 性 。 

在 R2 和 R3 上 对 VRRP 虚拟 组 1 配置 接口 认证 , 认证 方式 为 MD5, 密码 为 huawei。 


注意 在 配置 VRRP 报 文 认证 时 ,同一 VRRP 备份 组 的 认证 方式 必须 相同 , 否则 Master 
设备 和 Backup 设备 无 法 协商 成 功 。 
配置 完成 后 ， 使 用 display vrrp 命令 查看 。 
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在 以 上 显示 信息 中 ， 可 以 观察 到 “Auth Type” 字 段 显示 为 “MD5”，“Auth key” 字 
段 显示 为 “%$%$xASELV]Z77V(rDFgUna@6FBd%$%$”， 即 VRRP 备份 组 1 的 报 文 认 证 
方式 为 MD5 认证 ， 以 密 文 为 “%$%$xASELV)Z77V (rDFgUna@6FBd%$%$” 形 式 显示 。 


思考 


在 本 实验 中 ， 可 以 通过 配置 监视 上 行 接口 来 提高 VRRP 的 可 靠 性 ， 但 是 监视 上 行 接 
口 仍然 等 同 于 监视 直 连 链 路 ， 如 果 非 直 连 链 路 出 现 故障 ，VRRP 协议 能 否 感知 ? 
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10.1 配置 基本 的 访问 控制 列表 
10.2 配置 高 级 的 访问 控制 列表 
10.3 ”配置 前 缀 列表 
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10.1 配置 基本 的 访问 控制 列表 


原理 概述 


访问 控制 列表 ACL (Access Control List) 是 由 permit 或 deny 语句 组 成 的 一 系列 有 
顺序 的 规则 集合 ， 这 些 规则 根据 数据 包 的 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 等 信息 
来 描述 。ACL 规则 通过 匹配 报 文中 的 信息 对 数据 包 进 行 分 类 ， 路 由 设备 根据 这 些 规则 判 
断 哪 些 数据 包 可 以 通过 ， 哪 些 数据 包 需 要 拒绝 。 

按照 访问 控制 列表 的 用 途 ， 可 以 分 为 基本 的 访问 控制 列表 和 高 级 的 访问 控制 列表 ， 
基本 ACL 可 使 用 报 文 的 源 耳 地 址 、 时 间 段 信息 来 定义 规则 ， 编 号 范围 为 2000 一 2999。 

一 个 ACL 可 以 由 多 条 “deny/permit” 语 名 组成， 每 一 条 语句 描述 一 条 规则 ， 每 条 规 
则 有 一 个 Rule-ID。Rule-ID 可 以 由 用 户 进行 配置 ， 也 可 以 由 系统 自动 根据 步 长 生成 ， 默 
认 步 长 为 5，Rule-ID 默认 按照 配置 先后 顺序 分 配 0、5、10、15 等 ， 匹 配 顺 序 按照 ACL 
的 Rule-ID 的 顺序 ， 从 小 到 大 进行 匹配 。 


实验 目的 
。 理解 基本 访问 控制 列表 的 应 用 场景 
。 掌握 配置 基本 访问 控制 列表 的 方法 
实验 内 容 


本 实验 模拟 企业 网 络 环境 , R1 为 分 支 机 构 A 管理 员 所 在 IT 部 门 的 网 关 , R2 为 分 支 
机 构 A 用 户 部 门 的 网 关 ，R3 为 分 支 机 构 A 去 往 总 部 出 口 的 网 关 设 备 ，R4 为 总 部 核心 路 
由 器 设备 。 整 网 运行 OSPF 协议 ， 并 在 区 域 0 内 。 企 业 设 计 通 过 远程 方式 管理 核心 网 路 
由 器 R4， 要 求 只 能 由 R1 所 连 的 PC 本 实验 使 用 环 回 接口 模拟 ) 访问 R4， 其 他 设备 均 
不 能 访问 。 


实验 拓扑 
配置 基本 的 访问 控制 列表 的 拓扑 如 图 10-1 所 示 。 






GE 0/0/0 


GE 0/00 一 如 


R3 R4 
10.034.0/24 


aR 
民 
R2 


图 10-1 配置 基本 的 访问 控制 列表 拓扑 
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实验 编 址 


实验 编 址 见 表 10-1。 
表 10-1 实验 编 址 






OO 
GE000 | 100133 | 2552552550 
Gaoo | 100233 | 2552552550 | 
| GEoo2 | 100343 | 2552552550 | 
Loopback0 | 333.3 | 255.255.255.255 | 

| 255.255.255.255 | 







R1 (AR2220) 






R2 (AR2220) 










R3 (AR2220) 













de 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 





测试 通过 ， 其 余 直 连 网 段 的 连通 性 测 试 省 略 。 
2， 搭建 OSPF 网 络 
在 所 有 路 由 器 上 运行 OSPF 协议 ， 通 告 相应 网 段 至 区 域 0 中 。 
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[R4]ospf 1 

[R4-0spf-1larea 0 

[R4-0spf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 
[R4-0spf-1-area-0.0.0.0Jnetwork 4.4.4.4 0.0.0.0 

配置 完成 之 后 ， 在 R1 的 路 由 表 上 查看 OSPF 路 由 信息 。 
<R1>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 





Destinations : 4 Routes :4 

OSPF routing table status : <Active> 

Destinations : 4 Routes : 4 

Destination/Mask Proto Pre Cost Flags NextHop - Interface 

3.3.3.3/32 OSPF 有 D 10.0.13.3 GigabitEthermet0/0/0 

4.4.4.4/32 OSPF 106352 D 10.0.13.3 GigabitEthemet0/0/0 

10.0.23.0/24 OSPF Our D 10.0.13.3 GigabitEthernet0/0/0 

10,0.34.0/24 OSPF Je 人 D 10.0.13.3 GigabitEthermmet0/0/0 

OSPF routing table status ; <Inactive> 

Destinations : 0 Routes :0 

路 由 器 RI1 已 经 学 习 到 了 相关 网 段 的 路 由 条 目 ， 测 试 R1 的 环 回 口 与 R4 的 环 回 口 间 
的 连通 性 。 


<Rl>ping -a 1.1.1.1 4.4.4.4 

PING 4.4.4.4: 56 data bytes, press CTRL C to break 

Reply from 4.4.4.4: bytes=56 Sequence=] ttl=254 time=20 ms 
Reply from 4.4.4.4: bytes=56 Sequence=2 ttl=254 time=20 ms 
Reply from 4.4.4.4: bytes=56 Sequence=3 ttl=254 time=10 ms 
Reply from 4.4.4.4: bytes=56 Sequence=4 ttl=254 time=20 ms 
Reply from 4.4.4.4; bytes=56 Sequence=5 ttl=254 time=20 ms 
—- 4.4.4.4 ping statistics --- 

5 packet(s) transmitted 

$5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/18/20 ms 

通信 正常 ， 其 他 路 由 器 之 间 测 试 省 略 。 

3. 配置 基本 ACL 控制 访问 


在 总 部 核心 路 由 器 R4 上 配置 Telnet 相关 配置 ， 配 置 用 户 密码 为 huawei。 
[R4juser-interface vty 0 4 

[R4-ui-vty0-4]authentication-mode password 

Please configure the login password (maximum length 16):huawei 

配置 完成 后 ， 尝 试 在 IT 部 门 网 关 设备 R1 上 建立 Telnet 连接 。 

<R1>teInet 4.4.4.4 

Press CTRL |] to quit telnet mode 

Trying 4.4.4.4 ... 

Connected to 4.4.4.4 ... 

Login authentication 

Password: 

<R4> 

可 以 观察 到 , R1 可 以 成 功 登录 R4。 再 尝试 在 普通 员工 部 门 网 关 设 备 R2 上 建立 连接 。 
<R2>telnet 4.4.4.4 

Press CTRL_] to quit telnet mode 

Trying 4.4.4.4 ... 
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Connected to 4.4.4.4 ... 

Login authentication 

Password: 

<R4> 

这 时 发 现 ， 只 要 是 路 由 可 达 的 设备 ， 并 且 拥 有 Telnet 的 密码 ， 都 可 以 成 功 访问 核心 
设备 R4。 这 显然 是 极为 不 安全 的 。 网 络 管理 员 通 过 配置 标准 ACL 来 实现 访问 过 滤 ， 禁 
止 普通 员工 设备 登录 。 

基本 的 ACL 可 以 针对 数据 包 的 源 卫 地 址 进行 过 滤 , 在 R4 上 使 用 acl 命令 创建 一 个 
编号 型 ACL， 基 本 ACL 的 范围 是 2000~2999。 

[R4jacl 2000 

接 下 来 在 ACL 视图 中 ， 使 用 rule 命令 配置 ACL 规则 ， 指 定 规则 ID 为 S， 人 允许 数 
据 包 源 地 址 为 1.1.1.1 的 报 文通 过 ， 反 掩 码 为 全 0， 即 精确 匹配 。 

[R4-acl-basic-2000]rule 5 permit source 1.1.1.10 

使 用 rule 命令 配置 第 二 条 规则 ， 指 定 规则 ID 为 10， 拒 绝 任 意 源 地 址 的 数据 包 
通过 。 

[R4-acl-basic-2000]rule 10 deny sotirce any “”- 

在 上 面 的 ACL 配置 中 ， 第 一 条 规则 的 规则 ID 定义 为 5， 并 不 是 1; 第 二 条 定义 
为 10， 也 不 与 $ 连续 ， 这 样 配置 的 好 处 是 能 够 方便 后 续 的 修改 或 插入 新 的 条 目 。 并 
且 在 配置 的 时 候 也 可 以 不 采用 手工 方式 指定 规则 ID，ACL 会 自动 分 配 规则 ID， 第 一 
条 为 5， 第 二 条 为 10， 第 三 条 为 15， 依 此 类 推 ， 即 默认 步 长 为 5， 该 步 长 参数 也 是 可 
以 修改 的 。 

ACL 配置 完成 后 ， 在 VTY 中 调用 。 使 用 inbound 参数 ， 即 在 R4 的 数据 入 方向 
上 调用 。 

[R4]userinterface vty 0 4 

[R4-ui-vty0-4jacl 2000 inbound 

配置 完成 后 ， 使 用 R1 的 环 回 口 地 址 1.1.1.1 测试 访问 4.4.4.4 的 连通 性 。 

<R1>telnet -a 1.1.1.1 4.4.4.4 

Press CTRL_] to quit telnet mode 

Trying 4.4.4.4 ... 

Connected to 4.4.4.4 ... 

Login authentication 

Password: 

<R4> 

发 现 没有 问题 ， 然 后 尝试 在 R2 上 访问 R4。 

<R2>telnet 4.4.4.4 i 

Press CTRL_j] to quit teInet mode 

Trying 4.4.4.4 ... 

Error: Can't connect to the remote host 

<R2> 

可 以 观察 到 ， 此 时 R2 已 经 无 法 访问 4.4.4.4， 即 上 述 ACL 配置 已 经 生效 。 

4. 基本 ACL 的 语法 规则 

ACL 的 执行 是 有 顺序 性 的 ， 如 果 规 则 ID 小 的 规则 已 经 被 命中 ， 并 且 执 行 了 人 允许 或 
者 拒绝 的 动作 ， 那 么 后 续 的 规则 就 不 再 继续 匹配 。 

在 R4 上 使 用 display acl all 命令 查看 设备 上 所 有 的 访问 控制 列表 。 


[IR4]display acl all 
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以 上 是 目前 ACL 的 所 有 配置 信息 。 根 据 上 一 步骤 中 的 配置 ，R4 中 存在 一 个 基本 
ACL， 有 两 个 规则 rule 5 permit source 1.1.1.1 0 和 rule 10 deny source any， 且 根据 这 两 
个 规则 已 经 将 R2 的 访问 拒绝 。 现 出 现 新 的 需求 ， 需 要 R3 能 够 使 用 其 环 回 口 3.3.3.3 访 
问 R4。 

首先 尝试 使 用 规则 ID 15 来 添加 允许 3.3.3.3 访问 的 规则 。 





尝试 使 用 R3 的 3.3.3.3 访问 R4。 


配置 完 成 后 










发 现 无 法 访问 。 按 照 ACL 匹配 顺序 ， 这 是 由 于 规则 为 10 的 条 目 是 拒绝 所 有 行为 ， 
后 续 所 有 的 允许 规则 都 不 会 被 匹配 。 若 要 此 规则 生效 ， 必 须 添加 在 拒绝 所 有 的 规则 ID 
之 前 。 

在 R4 上 修改 ACL 2000， 将 规则 ID 修改 为 8。 





再 次 尝试 使 用 R3 的 环 回 口 访问 R4。 


。 配置 完成 后 









此 时 访问 成 功 ， 证 明 配 置 已 经 生效 。 
思考 
在 本 实验 中 ， 如 果 ACL 不 配置 在 R4 上 ， 那 么 该 如 何 设 置 ? 有 什么 优 缺 点 ? 


10.2 配置 高 级 的 访问 控制 列表 


原理 概述 


基本 的 ACL 只 能 用 于 匹配 源 IP 地 址 ， 而 在 实际 应 用 当中 往往 需要 针对 数据 包 的 其 
他 参数 进行 匹配 ， 比 如 目的 了 P 地 址 、 协 议 号 、 端 口号 等 ， 所 以 基本 的 ACL 由 于 匹配 的 
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局 限 性 而 无 法 实现 更 多 的 功能 ， 所 以 就 需要 使 用 高 级 的 访问 控制 列表 。 

高 级 的 访问 控制 列表 在 匹配 项 上 做 了 扩展 ， 编 号 范围 为 3000 一 3999， 既 可 使 用 报 文 
的 源 PP 地 址 ， 也 可 使 用 目的 地 址 、 卫 优先 级 、 了 协议 类 型 、ICMP 类 型 、TCP 源 端口 / 
目的 端口 、UDP 源 端口 /目的 端口 号 等 信息 来 定义 规则 。 

高 级 访问 控制 列表 可 以 定义 比 基 本 访问 控制 列表 更 准确 、 更 丰富 、 更 灵活 的 规则 ， 
也 因此 得 到 更 加 广泛 的 应 用 。 


实验 目的 


。 理解 高 级 访问 控制 列表 的 应 用 场景 
。 掌握 配置 高 级 访问 控制 列表 的 方法 
。 理解 高 级 访问 控制 列表 与 基本 访问 控制 列表 的 区 别 


实验 内 容 


本 实验 模拟 企业 网 络 环境 。 R1 为 分 支 机 构 A 管理 员 所 在 IT 部 门 的 网 关 ，R2 为 分 支 
机 构 A 用 户 部 门 的 网 关 ，R3 为 分 支 机 构 A 去 往 总 部 出 口 的 网 关 设 备 ，R4 为 总 部 核心 路 
由 器 设备 。 企 业 原始 设计 思路 想 要 通过 远程 方式 管理 核心 网 路 由 器 R4， 要 求 由 了 R1 所 连 
的 PC 可 以 访问 R4， 其 他 设备 均 不 能 访问 。 同 时 又 要 求 只 能 管理 R4 上 的 4.4.4.4 这 台 服 
务 器 ， 另 一 台 同 样 直 连 R4 的 服务 器 40.40.40.40 不 能 被 管理 〈 本 实验 PC 使 用 环 回 接口 
模拟 )。 


实验 拓扑 
配置 高 级 的 访问 控制 列表 的 拓扑 如 图 10-2 所 示 。 


GE 0/0/0 














GE 0/0/2 
GE 0/0/0 


GE 0/0/1 





GE 0/0/0 


R3 R4 
ee 


GE 0/0/0 


图 10-2 配置 高 级 的 访问 控制 列表 拓扑 


实验 编 址 
实验 编 址 见 表 10-2。 
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表 10-2 实验 编 址 












a 加 认 网 关 

255.255.255.0 

| Loopback0 | 1lll | 255.255.255.255 

10.0.23.2 255.255.255.0 
GE 0/0/0 10.0.13.3 


255.255.255.0 
GE 0/0/1 10.0.23.3 







R1 (AR2220) 






R2 (AR2220) N/A 
























255.235.255:0 


GE 0/0/2 10.0.34.3 255.255.255.0 
Loopback 0 3.3.3.3 255.255.255.255 
GE 0/0/0 10.0.34.4 255.255.255.0 


Loopback 0 4.4.4.4 255.255.255.255 
Loopback 1 40.40.40.40 255 动 55.253,.255 


R3 (AR2220) 






R4 (AR2220) 





实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
[Rilping 10.0.13.3 


PING 10.0.13.3: 56 data bytes, press CTRL _C to break 

Reply from 10.0.13.3: bytes=56 Sequence=l ttl=255 time=130 .ms 
Reply from 10.0.13.3: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 10.0.13.3: bytes=56 Sequence=3 tt]=255 time=40 ms 
Reply from 10.0.13.3: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.13.3: bytes=56 Sequence=5 ttl=255 time=10 ms 
-一 10.0.13.3 ping statistics -一 
5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/54/130 ms 


测试 通过 ， 其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
在 所 有 路 由 器 上 运行 OSPF 协议 ， 通 告 相应 网 段 至 区 域 0 中 。 


[Rl]Jospf 1 

[Rl-ospf-l]area 0 

[R1-osp 人 1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 
[Rl1-ospf-1-area-0.0.0.0Jnetwork 1.1.1.1 0.0.0.0 


[R2]ospf 1 
[R2-0spf-1]area 0 
[R2-0spf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-1jarea 0 

[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 一 一 
[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 

[R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 

[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 


[R4]Jospf 1 
[R4-ospfI]area0 
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[R4-0spf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 
[R4-osp 人 1-area-0.0.0.0]network 4.4.4.4 0.0.0.0 
[R4-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0 


配置 完成 之 后 ， 在 R1 的 路 由 表 上 查看 OSPF 路 由 信息 。 
<Rl>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 5 Routes :5 

OSPF routing table status ; <Active> 

Destinations : 5 Routes :5 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.3.3.3/32 人 SR DA D 10.0.13.3 GigabitEthernet0/0/0 
4.4.4.4/32 OSPF 10~ 2 D 10.0.13.3 GigabitEthernet0/0/0 
40.40.40.40/32 OSPET "0 3 D 10.0.13.3 GigabitEthernet0/0/0 
10.0.23.0/24 OSPF 0 = 这 D 10.0.13.3 GigabitEthernet0/0/0 
10.0.34.0/24 OSPF i D 10.0.13.3 GigabitEthernet0/0/0 
OSPF routing table status : <Inactive> 

Destinations : 0 Routes :0 





路 由 器 Rl 已 经 学 习 到 了 相关 网 段 的 路 由 条 目 。 
3. 配置 Telenet 
在 总 部 核心 路 由 器 R4 上 配置 Telnet 相关 配置 ， 配 置 用 户 密码 为 huawei。 


[R4]user-interface vty 0 4 

[R4-ui-vty0-4]authentication-mode password 

Please configure the login password (maximum length 16):huawei 
配置 完成 后 ， 尝 试 在 R1 上 建立 与 R4 的 环 回 接口 0 的 他 地址 的 Telnet 连接 。 
<Rl>telnet —a 1.1.1.1 4.4.4.4 

Press CTRL_] to quittelnet mode 

Trying 4.4.4.4 ... 

Connected to 4.4.4.4 ... 

Login authentication 

Password: 

<R4> 


可 以 观察 到 ，R1 已 经 可 以 成 功 登录 R4。 
再 尝试 在 R1 上 建立 与 R4 的 环 回 接口 1 的 IP 地 址 的 Telnet 连接 。 


<Rl>telnet —a 1.1.1.1 40.40.40.40 
Press CTRL_ ] to quit telnet mode 
Trying 40.40.40.40 ... lL 
Connected to 40.40.40.40 ... 
Login authentication 

Password: 

<R4> 


这 时 发 现 ， 只 要 是 路 由 可 达 的 设备 ， 并 且 拥 有 Telnet 的 密码 ， 都 可 以 成 功 正常 登录 。 

4. 配置 高 级 ACL 控制 访问 

根据 设计 要 求 ，R1 的 环 回 接口 只 能 通过 R4 上 的 4.4.4.4 进行 Telnet 访问 , 但 是 不 能 
通过 40.40.40.40 访问 。 

如 果 要 R1 只 能 通过 访问 R4 的 环 回 口 0 地址 登录 设备 , 即 同时 匹配 数据 包 的 源 地 址 
和 目的 地 址 实现 过 滤 ， 此 时 通过 标准 ACL 是 无 法 实现 的 ， 因 为 ACL 只 能 通过 匹配 源 地 
址 实现 过 滤 ， 所 以 需要 使 用 到 高 级 ACL。 
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在 R4 上 使 用 acl 命令 创建 一 个 高 级 ACL 3000。 
[R4]acl 3000 
在 高 级 ACL 视图 中 ， 使 用 rule 命令 配置 ACL 规则 ,ip 为 协议 类 型 ， 允 许 源 地 址 为 
1.1.1.1、 目 的 地 址 为 4.4.4.4 的 数据 包 通 过 。 
[R4-acl-adv-3000]rule “permit ip source 1.1.1.1 0 destination 4.4.4.4 0 
配置 完成 后 ， 查 看 ACL 配置 信息 。 


[Rl-acl-adv-3000]dis acl all 
te bet hive et 





ARE 
rule 5 permit ip Source 1.1.1.1 0 destination 4.4.4.40 


可 以 观察 到 ， 在 不 指定 规则 DD 的 情况 下 ， 默 认 步 长 为 5， 第 一 条 规则 的 规则 ID 即 为 5。 
将 ACL 3000 调用 在 VTY 下 ， 使 用 inbound 参数 ， 即 在 R4 的 数据 入 方向 上 调用 。 


[R4]user-interface vty 0 4 
[R4-ui-vty0-4]acl 3000 inbound 
配置 完成 后 ， 在 R1 上 使 用 环 回 口 地 址 尝试 访问 40.40.40.40。 
<R1>telnet -a 1.1.1.1 40.40.40.40 
Press CTRL_ ]to quit telnet mode 

Trying 40.40.40.40 ... 
Error: Can't connect to the remote ho 





<RI> 
可 以 观察 到 ， 此 时 过 滤 已 经 实现 ，R1 不 能 使 用 环 回 口 地 址 访问 40.40.40.40。 
此 外 高 级 ACL 还 可 以 实现 对 源 、 目 的 端口 ， 协 议 号 等 信息 的 匹配 ， 功 能 非常 强大 。 


思考 
路 由 器 能 和 否 通过 ACL 过 滤 自 身 产 生 的 数据 包 ? 


10.3 配置 前 缀 列表 


原理 概述 


前 级 列表 即 IP-Prefix List， 它 可 以 将 与 所 定义 的 前 绥 列 表 相 匹配 的 路 由 ， 根 据 定义 
的 匹配 模式 进行 过 滤 。 前 级 列表 中 的 匹配 条 目 由 IP 地 址 和 掩 码 组 成 ， 卫 地 址 可 以 是 网 
段 地 址 或 者 主机 地 址 ， 掩 码 长 度 的 配置 范围 为 0~32， 可 以 进行 精确 匹配 或 者 在 一 定 掩 
码 长 度 范围 内 匹配 , 也 可 以 通过 配置 关键 字 greater-equal 和 less-equal 指定 待 匹 配 的 前 级 
掩 码 长 度 范围 。 

前 级 列表 能 同时 匹配 前 级 号 和 前 缀 长度， 主要 用 于 路 由 的 匹配 和 控制 ， 不 能 用 于 数 
据 包 的 过 滤 。 


实验 目的 


。 理解 前 缀 列表 的 应 用 场景 
。 掌握 前 级 列表 的 配置 方法 
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e 理解 前 级 列表 与 ACL 的 区 别 
实验 内 容 


本 实验 模拟 公司 网 络 场景 。 公 司 分 部 A 网 络 使 用 11.1.1.0/24 网 段 ， 通 过 路 由 器 R2 
和 骨干 路 由 器 -R1 相连 ， 网 络 运行 RIPv2 协议 。 现 在 公司 新 成 立 一 个 分 部 B， 新 分 部 B 
的 路 由 器 R3 连接 R1 加 入 该 RIPv2 网 络 。 由 于 新 分 部 B 的 网 络 管理 员 不 熟悉 公司 内 网 
IP 地 址 规划 , 在 新 分 部 B 中 使 用 了 11.1.1.0/25 网 段 , 这 样 导致 从 总 部 发 往 分 部 A 的 部 分 
数据 包 在 R1 上 都 会 由 于 路 由 掩 码 最 长 匹配 从 而 错误 地 发 往 分 部 B。 而 整个 新 分 部 B 整 
改 IP 地 址 需要 一 定时 间 ， 公 司 当务之急 是 需要 恢复 总 部 与 分 部 A 的 通信 ， 可 以 通过 在 
R1 上 使 用 前 级 列表 过 滤 掉 这 些 错 误 的 路 由 。 


实验 拓扑 
配置 前 级 列表 的 拓扑 如 图 10-3 所 示 。 


| | Ethernet 0/0/10. 
Ethernet 0/0/1 ~ Ethernet 0/0/2 


PC-I Sl R2 









GE 0/0/1 


R4 


EE 
| | Ethernet 0/0/1 
Ethernet 0/0/1 = Ethernet 0/0/2 


PC-2 S2 R3 





新 部 丫 
10-3 ”配置 前 级 列表 拓扑 


实验 编 址 


实验 编 址 见 表 10-3。 
0-3 实验 编 址 


1 
a 


备 














R1 (AR2220) 






R2 (AR2220) 









R3 (AR2220) 
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( 续 表 ) 


R4 (AR2220) GE 0/0/0 40.1.1.4 2Z55255255.0 


Ethernet 0/0/1 ll,l1 255.255.255.0 
Ethernet 0/0/1 11,1L.10 255.255.255.128 L111.11 





实验 步骤 


1. 基本 配置 


根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 












其 他 设备 间 的 连通 性 测试 略 。 

2.， 搭建 RIP 网 络 

公司 内 部 网 络 使 用 RIPv2 协议 。 首 先 配置 R1、R2 和 R4 运行 RIPv2 协议 ， 在 总 部 
路 由 器 R4 上 能 访问 分 部 A 的 PC。 





配置 完成 后 ， 查看 总 部 R4 的 路 有 
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Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthernetO/0/0 
20.1:.0/24 一 RIP 100 1 D 40.1.1.1 GigabitEthernet0/0/0 
30.1.1.0/24 RIP 100 » D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.0/24 Direct 0 0 D 40.1.1.4 GigabitEthernet0/0/0 
40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ，R4 的 路 由 表 中 已 经 获得 了 11.1.1.0/24 的 路 由 ， 测 试 R4 与 公司 总 部 A 
中 PC-1 间 的 连通 性 。 
[R4jping 11.1.1.1 
PING 11.1.1.1: 56 data bytes, press CTRL _C to break 

Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=126 time=150 ms 
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=100 ms 
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=100 ms 
Reply from 11.1.1.1: bytes=56 Sequence=4 tt=126 time=90 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=126 time=100 ms 


werent 


现在 新 分 部 B 加 入 公司 网 络 ， 在 R3 上 配置 RIPv2 协议 。 
[R3]rip 1 

[R3-rip-l]version 2 

[R3-rip-lJjundo summary 

[R3=rip-1]network 11.0.0.0 

[R3-rip-1]jnetwork 30.0.0.0 


配置 完成 后 ， 再 一 次 查看 R4 的 路 由 表 。 


[R4jdisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes: 8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthernet0/0/0 
11.1.1.0/25 RiP “ 100 2 D 40.11.1 GigabitEthernet0/0/0 
20.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthermet0/0/0 
30.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.0/24 Direct 0 0 D 40.1.1.4 GigabitEthernet0/0/0 
40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0 


可 以 观察 到 , 此 时 R4 接收 到 了 公司 分 部 A 的 11.1.1.0/24 路 由 条 目 和 新 分 部 
B 的 11.1.1.0/25 路 由 和 条目， 同样 R1 也 会 接收 到 这 两 条 路 由 条 目 ， 这 样 会 造成 什 
么 后 果 ? 

根据 路 由 器 转发 数据 的 原理 ， 在 转发 数据 包 时 路 由 器 会 根据 最 长 匹配 的 原则 去 匹配 
路 由 条 目 ， 即 R4 向 分 部 A 的 终端 PC-1 发 送 数据 时 ， 当 数据 包 到 达 R1 后 ， 根 据 包头 的 
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目的 亿 地址 与 路 由 表 中 的 路 由 条 目 进行 匹配 , 发 现 11.1.1.0/25 条 目 匹 配 更 精确 ， 这 会 使 
得 数据 包 都 根据 这 条 路 由 条 目 进行 转发 ， 即 将 原本 要 发 往 PC-1 的 数据 包 都 错误 地 发 往 
R3， 造 成 总 部 与 分 部 A 异常 通信 。 

在 R4 上 测试 与 PC-1 间 的 连通 性 。 








可 以 观察 到 此 时 无 法 正常 通信 。 
在 R4 上 使 用 tracert 命令 测试 发 往 PC-1 的 数据 包 所 经 过 的 网 关 。 







可 以 观察 到 ， 此 时 R4 发 往 分 公司 A 的 PC-1 的 数据 包 确 实 都 已 错误 地 发 往 R3。 

3. 配置 ACL 过 滤 路 由 

由 于 业务 需要 ， 现 公司 急需 恢复 总 部 与 分 部 A 间 的 通信 。 但 是 重新 规划 并 配置 整个 
分 部 B 的 了 PP 地址 需要 一 定时 间 ， 此 时 网 络 管理 员 尝 试 使 用 ACL 来 配置 路 由 过 滤 ， 即 在 
R1 上 过 滤 掉 11.1.1.0/25 这 条 路 由 。 

在 Rl 上 创建 基本 的 ACL， 拒 绝 11.1.1.0 这 个 目的 网 段 的 路 由 。 


















接 下 来 在 RIP 视图 下 ， 配 置 过 波 策略 《filter policy)， 该 策略 通过 调用 之 前 配置 好 的 
ACL 来 达到 过 滤 路 由 的 目的 ， 并 且 在 Rl 的 RIP 路 由 进程 中 的 接收 方向 应 用 此 路 由 过 滤 
策略 。 






配置 完成 后 ， 查看 RI 的 路 由 表 。 
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40.1.1.0/24 Direct 0 0 D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 0 0 D 127.0.0.1 InLoopBack0 


观察 发 现 R1 的 路 由 表 中 11.1.1.0/24 和 11.1.1.0/25 这 两 条 路 由 都 被 过 滤 。 这 是 因为 
ACL 无 法 实现 对 掩 码 长 度 进行 精确 匹配 ， 而 分 部 A 的 网 络 位 和 分 部 B 的 网 络 位 相同 ， 
都 是 11.1.1.0， 就 会 导致 把 分 部 A 的 路 由 也 同时 过 滤 。 

4. 配置 前 组 列表 过 滤 路 由 

了 能 够 精确 匹配 掩 码 长 度 ， 仅 过 滤 掉 11.1.1.0/25 这 条 新 分 部 B 的 路 由 ， 可 以 在 

R1 上 配置 前 级 列表 。 

在 Rl1 上 配置 前 级 列表 ， 同 时 精确 匹配 网 络 位 和 掩 码 长 度 。 

[RI1lip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25 

[Rijip ip-prefix 1 permit 0.0.0.0 0 less-equal 32 

第 二 条 配置 表示 放行 所 有 其 他 的 路 由 ， 这 是 因为 前 级 列表 也 会 有 一 条 隐 含 的 拒绝 所 
有 的 规则 ， 所 以 如 果 要 放行 其 他 所 有 路 由 的 话 ， 一 定 要 显 式 增加 一 条 允许 所 有 的 规则 。 
而 第 一 条 配置 也 可 以 使 用 下 面 的 方式 简写 。 

[RI]ip ip-prefix 1 deny 11.1.1.0 25 

将 该 前 级 列表 应 用 到 过 滤 策 略 下 。 

[Ri-rip-1]filter-policy ip-prefix 1 import 

配置 完成 后 ， 查 看 R1 的 路 由 表 。 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 





Destinations : 9 Routes:9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
VO Es va ee 
20.1.1.0/24 Direct 0 0 D 20.1.1.1 GigabitEthernet0/0/1 
20.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
30.1.1.0/24 Direct 0 0 D 30.1.1.1 GigabitEthemet0/0/2 
30.1.1.1/32 Direct 0 0 3 127.0.0.1 GigabitEthernet0/0/2 
40.1.1.0/24 Direct 0 0 D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 “0 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 此 时 R1 的 路 由 表 中 仅 存在 11.1.1.0/24， 即 分 部 A 的 路 由 条 目 ， 这 样 
就 恢复 了 总 部 与 分 部 A 的 通信 。 测 试 总 部 与 分 部 A 中 PC-1 间 的 连通 性 。 
<R4>ping 11.1.1.1 
PING 11.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 11.1.1.1: bytes=56 Sequence=]1 ttl=126 time=120 ms 
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=50 ms 
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=130 ms 
Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=60 ms 
Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=110 ms 
一 11.1.1.1 ping statistics -一 
S packet(s) transmitted 
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5. 恢复 新 分 部 网 络 

为 了 新 分 部 B 能 正确 接 入 现 有 网 络 中 , 网 络 管理 员 需 要 重新 规划 IP 地 址 , 使 分 部 B 
能 与 公司 总 部 及 分 部 A 通信 。 

规划 分 部 B 网 络 使 用 11.2.2.0/24 网 段 ， 更 改 PC-2 的 耳 地址 为 11.2.2.1/24，R3 的 
GE0/0/0 接口 瑟 地 址 为 11.2.2.3/24。 


yh Y 


可 以 观察 到 ，R1 的 路 由 表 中 现 有 新 分 部 B 所 在 10.2.2.0/24 网 段 的 路 由 条 目 ， 


使 用 ping 命令 测试 总 部 与 分 部 A、 新 分 部 B 间 的 连通 性 。 
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可 以 观察 到 ， 通 信 正 常 。 
思考 
如 果 将 前 级 列表 中 已 配置 好 的 语句 顺序 打 乱 会 对 实验 结果 产生 影响 吗 ? 
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11.1 WAN 接 入 配置 

11.2 PPP 的 认证 

11.3” 帧 中 继 基本 配置 

11.4 ”OSPF 在 帧 中 继 网 络 中 的 配置 
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11.1 WAN 接 入 配置 


原理 概述 


高 级 数据 链 路 控制 HDLC (High-level Data Link Control) 是 一 种 链 路 层 协议 ， 运 行 
在 同步 串 行 链 路 之 上 。HDLC 最 大 的 特点 是 不 需要 规定 数据 必须 是 字符 集 ， 对 任何 一 种 
比特 流 ， 均 可 以 实现 透明 的 传输 。 

HDLC 是 由 国际 标准 化 组 织 ISO 制定 的 ， 是 通信 和 领域 曾 广泛 应 用 的 一 个 数据 链 路 层 
协议 。 但 是 随 着 技术 的 进步 ， 目 前 通信 信道 的 可 靠 性 比 过 去 已 经 有 了 非常 大 的 改进 ， 已 
经 没有 必要 在 数据 链 路 层 使 用 很 复杂 的 协议 〈 包 括 编号 、 检 错 重 传 等 技术 ) 来 实现 数据 
的 可 靠 传 输 。 作 为 窗 带 通信 协议 的 HDLC, 在 公 网 的 应 用 逐渐 消失 ,应 用 范围 逐渐 减 小 ， 
只 是 在 部 分 专 网 中 用 来 封装 透 传 业务 数据 。 

PPP (Point-to-Point Protocol) 协议 是 一 种 数据 链 路 层 协 议 ， 主 要 用 来 在 全 双 工 的 同 
异步 链 路 上 进行 点 到 点 之 间 的 数据 传输 。 PPP 的 设计 初衷 是 为 两 个 对 等 节点 之 间 的 他 流 
量 提供 一 种 封装 协议 , 它 是 在 串 行 线 卫 协议 SLIP (Serial Line IP) 的 基础 上 发 展 而 来 的 。 
由 于 SLIP 协议 存在 只 支持 异步 传输 方式 、 无 协商 过 程 、 只 能 承载 卫 一 种 网 络 报 文 等 问 
题 ， 在 发 展 过 程 中 ， 逐 步 被 PPP 协议 所 替代 。PPP 与 HDLC 的 主要 区 别 是 : HDLC 是 面 
向 位 的 ， 而 PPP 是 面向 字 节 的 。PPP 是 一 种 多 协议 成 帧 机 制 ， 适 用 于 调制 解 调 器 。 

串 行 链 路 是 指 信 息 的 各 位 数据 被 逐 位 按 顺序 传送 的 线路 ， 适 用 于 远 距 离 通信 ， 但 速 
度 较 慢 ， 与 之 相对 的 是 并 行 链 路 ， 能 够 在 同一 时 刻 传 送 一 个 8 bit 数据 。 同 步 和 异步 是 广 
域 网 的 串 行 链 路 的 两 种 传输 模式 ， 同 步 模式 要 求 通信 双方 以 相同 的 时 钟 频率 进行 ， 通 过 
共享 单个 时 钟 或 定时 脉冲 源 保 证 发 送 方 和 接收 方 的 准确 同步 ， 效 率 较 高 ;异步 模式 不 要 
求 双方 同步 ， 收 发 方 可 以 采用 各 自 的 时 钟 源 ， 双 方 遵循 异步 的 通信 协议 ， 以 字符 为 数据 
传输 单位 ， 发 送 方 传送 字符 的 时 间 间 隔 不 确定 ， 发 送 效 率 比 同步 模式 低 。 


实验 目的 


e 掌握 PPP 的 基本 配置 
e 掌握 HDLC 的 基本 配置 
。 理解 PPP 与 HDLC 的 异同 


实验 内 容 

本 实验 模拟 企业 网 络 场景 。 某 公司 开发 部 门 的 PC-1， 通 过 部 门路 由 器 R2 连接 到 公 
司 出 口 网 关 R1; 市 场 部 门 的 PC-2 直 连 到 公司 出 口 网 关 ; IT 部 门 的 PC-3 通过 部 门路 由 
器 R3 连接 到 公司 出 口 网 关 。R2 与 Rl1 之 间 链 路 为 串 行 链 路 ， 封 装 PPP 协议 ; R3 与 Rl1 
之 间 链 路 为 串 行 链 路 ， 封 装 HDLC 协议 。R2 与 R3 分 别 设置 默认 路 由 指向 R1， 使 各 部 
门 之 间 能 互相 访问 。 
实验 拓扑 

WAN 接 入 配置 的 拓扑 如 图 11-1 所 示 。 
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SA Eu 1/0/0 
Ethernet 0/0/1 
wm i 
Ethernet 2/0/1 
PC-2 


i Serial 1/0/1 
“96h 
‘ 

Pe 

Ethernet 0/0/1 ,” Serial 1/0/1 

IT Li- = 民 | 

部 门 Ethernet 2/0/1 


rc FE 
Tia 


11-1 WAN 接 入 拓扑 


实验 编 址 
实验 编 址 见 表 11-1。 





NA 
Ri CARI220) NA 
NA 

15216813 
ee 19216822 
9216827 

Po 2161254 
pC 172162254 
EC [2163254 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
<Rl>ping -¢ 1 172.16.2.1 
PING 172.16.2.1: 56 data bytes, press CTRL _C to break 
Reply from 172.16.2.1: bytes=56 Sequence=] ttl=255 time=510 ms 
-- 172.16.2.1 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 


330 HCNA 网 络 技术 实验 指南 


0.00% packet loss 

round-trip min/avg/max = 510/510/510 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2， 配 置 PPP 
默认 情况 下 ， 串 行 接口 封装 的 链 路 层 协议 即 为 PPP， 可 以 直接 在 R1 上 使 用 display 

interface serial 1/0/0 命令 进行 查看 。 

[R1]display interface serial 1/0/0 
Seriall/0/0 current state : UP 
Internet Address is 192.168.1.2/24 
Link layer protocol is PPP 
LCP opened, IPCP opened 


在 R2 上 配置 默认 路 由 指向 出 口 网 关 R1, 并 在 R1 上 配置 目的 网 段 为 PC-1 所 在 网 络 
的 静态 路 由 ， 下 一 跳 路 由 器 为 R2。 


[R21]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 
[R1]ip route-static 172.16.1.0 255.255.255.0 192.168.1.1 
配置 完成 后 ， 在 PC-1 上 测试 与 R1 间 的 连通 性 。 
PC>ping 192.168.1.2 
Ping 192.168.1.2: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.2: bytes=32 seq=] ttl=254 time=16 ms 
From 192.168.1.2: bytes=32 seq=2 ttl=254 time=31 ms 
From 192.168,1.2: bytes=32 seq=3 ttl=254 time=32 ms 
From 192.168.1.2: bytes=32 seq=4 ttl=254 time=31 ms 
From 192.168.1.2: bytes=32 seq=5 ttl=254 time=31 ms 
--- 192.168.1.2 ping statistics -—- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 16/28/32 ms 
可 以 正常 通信 。 
3. 配置 HDLC 
在 Rl 和 R3 的 S 1/0/1 接 口上 分 别 使 用 link-protocol 命 令 配置 链 路 层 协 议 为 HDLC。 


[R1linterface Serial 1/0/1 

[R1-Seriall/0/1]link-protocol hdlc 

Warming: The encapsulation protocol of the link will be changed. 
Continue? [Y/N]:y 


[R3]interface Serial 1/0/1 

[R3-Seriall/0/11]link-protocol hdlc 

Warning: The encapsulation protocol of the link will be changed. 

Continue? [Y/N]:y 

在 R3 上 配置 默认 路 由 指向 出 口 网 关 Rl, 并 在 R1 上 配置 目的 网 段 为 PC-3 所 在 网 络 
的 静态 路 由 ， 下 一 跳 路 由 器 为 R3 连接 R1 的 S 1/0/1 接口 。 


[R3]ip route-static 0.0.0.0 0.0.0.0 serial 1/0/1 


[RI]ip route-static 172.16.3.0 255.255.255.0 serial 1/0/1 
配置 完成 后 ， 在 PC-3 上 测试 与 路 由 器 R1 间 的 连通 性 。 


PC>ping 192.168.22 


第 11 章 广域网 331 


Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break 
From 192.168.2.2: bytes=32 seq=1 ttl=254 time=15 ms 
From 192.168.2.2: bytes=32 seq=2 ttl=254 time=46 ms 
From 192.168.2.2: bytes=32 seq=3 ttl=254 time=3]1 ms 
From 192.168.2.2: bytes=32 seq=4 ttl=254 time=16 ms 
From 192.168.2.2: bytes=32 seq=5 ttl=254 time=31 ms 
~- 192.168.2.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss. 

round-trip min/avg/max = 15/27/46 ms 


可 以 正常 通信 。 
思考 


假设 在 某 一 直 连 链 路 上 ， 一 端 接口 的 链 路 层 协议 为 PPP， 男 一 端 为 HDLC， 此 时 能 
否 正常 通信 ? 


11.2 ”PPP 的 认证 


原理 概述 


在 网 络 日 益 发 展 的 今天 ， 人 们 对 网 络 安 全 性 的 要 求 越 来 越 高 ， 而 PPP 协议 之 所 以 能 
成 为 广域网 中 应 用 较为 广泛 的 协议 , 原因 之 一 就 是 它 能 提供 验证 协议 CHAP (Challenge- 
Handshake Authentication Protocol， 挑 战 式 握手 验证 协议 )、PAP (Password Authentication 
Protocol， 密 码 验 证 协议 )， 更 好 地 保证 了 网 络 安 全 性 。 

PAP 为 两 次 握手 验证 ， 口 令 为 明文 ， 验 证 过 程 仅 在 链 路 初始 建立 阶段 进行 。 当 链 路 
建立 阶段 结束 后 ， 用 户 名 和 密码 将 由 被 验证 方 重 复 地 在 链 路 上 发 送 给 验证 方 ， 直 到 验证 
通过 或 者 中 止 连接 。PAP 不 是 一 种 安全 的 验证 协议 ， 因 为 口令 是 以 明文 方式 在 链 路 上 发 
送 的 ， 并 且 用 户 名 和 口令 还 会 被 验证 方 不 停 地 在 链 路 上 反复 发 送 ， 导 致 很 容易 被 截获 。 

CHAP 是 三 次 握手 验证 协议 ， 只 在 网 络 上 传输 用 户 名 ， 而 并 不 传输 用 户 密码 ， 因 此 
安全 性 要 比 PAP 高 。CHAP 协议 是 在 链 路 建立 开始 就 完成 的 ， 在 链 路 建立 完成 后 的 任何 
时 间 都 可 以 进行 再 次 验证 。 当 链 路 建立 阶段 完成 后 ， 验 证 方 发 送 一 个 “challenge” 报 文 
给 被 验证 方 ， 被 验证 方 经 过 一 次 Hash 算法 后 ， 给 验证 方 返回 一 个 值 ; 验证 方 把 自己 经 
过 Hash 算法 生成 的 值 和 被 验证 方 返回 的 值 进行 比较 。 如 果 两 者 匹配 ， 那 么 验证 通过 ， 
否则 验证 不 通过 ， 连 接 被 终止 。 


实验 目的 


。 掌握 配置 PPP PAP 认证 的 方法 
。 掌握 配置 PPP CHAP 认证 的 方法 
e 理解 PPP PAP 认证 与 CHAP 认证 的 区 别 


332 HCNA 网 络 技术 实验 指南 


实验 内 容 


本 实验 模拟 企业 网 络 环境 。R1 为 分 支 机 构 接 入 端 网 关 设 备 ，PC-1 为 企业 分 支 机 
构 终 端 。R2 为 企业 总 部 接 入 终端 网 关 设备 ，PC-2 为 企业 总 部 终端 ，R3 为 企业 总 部 
核心 路 由 器 。 出 于 安全 角度 考虑 ， 网 络 管理 员 在 分 支 机 构 访问 总 部 时 部 署 PPP 认证 ， 
R1 是 被 认证 方 路 由 器 ，R3 是 认证 方 路 由 器 , 只 有 认证 通过 才能 建立 PPP 连接 进行 正 
常 访问 。 


实验 拓扑 
PPP 的 认证 拓扑 如 图 11-2 所 示 。 


R1 R3 R2 
4 0 













Serial 4/0/0 GE 0/0/0 
一 一 一 全 一 一 一 一 一 丰 一 一 
Serial 4/0/0 GE 0/0/0 
GE 0/0/0 GE 0/0/1 
Ethernet 0/0/1 Ethernet 0/0/1 
一 -一 一 一 一 一 
PC-1 PC-2 
企业 分 支 企业 总 部 


图 11-2 PPP 的 认证 拓扑 


实验 编 址 


实验 编 址 见 表 11-2。 
表 11-2 实验 编 址 
和 ra 























Ethernet0/0/1 | 10.01.1 | 255.255.255.0 10.0.1.254 









10.0.2.254 








Rl1 (AR2220) 


R2 (AR2220) 


R3 (AR2220) 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
通 性 .一 -= 一 


测试 通过 ， 其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
在 每 台 路 由 器 上 配置 OSPF 协议 ， 并 通告 相应 网 段 到 区 域 0 内 


配置 完成 后 测试 总 部 与 分 支 终端 间 的 连 


可 以 观察 到 ， 通 信 正 常 。 
3. 配置 PPP 的 PAP 认证 
现在 为 了 提升 分 支 机 构 与 总 部 通信 时 的 安全 性 ， 在 分 支 网 关 设 备 R1 与 公司 核心 设 
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备 R3 上 部 署 PPP 的 PAP 认证 。R3 作为 认证 路 由 器 ，R1 作为 被 认证 路 由 器。 

由 于 在 华为 路 由 器 上 ， 广 域 网 串 行 接口 默认 链 路 层 协议 即 为 PPP， 因 此 可 以 直接 配 
置 PPP 认证 。 在 总 部 设备 R3 上 使 用 ppp authentication-mode 命令 设置 本 端的 PPP 协议 
对 对 端 设备 的 认证 方式 为 PAP， 认 证 采用 的 域名 为 huawei。 

[R3]interface Serial 4/0/0 

[R3-Serial4/0/0]ppp authentication-mode pap domain huawei 

接 下 来 配置 认证 路 由 器 R3 的 本 地 认证 信息 。 

执行 aaa 命令 ， 进 入 AAA 视图 。 

[R3]aaa 

使 用 authentication-scheme 命令 创建 认证 方案 huawei_ 1， 并 进入 认证 方案 视图 。 

[R3-aaalauthentication-scheme huawei 1 

使 用 authentication-mode 命令 配置 认证 模式 为 本 地 认证 。 

[R3-aaa-authen-huawei_1]authentication-mode local 

使 用 domain 命令 创建 域 huaweiyu， 并 进入 域 视图 。 

[R3-aaaldomain huaweiyu 

使 用 authentication-scheme 命令 配置 域 的 认证 方案 为 huawei 1, 注意 必须 和 创建 的 
认证 方案 一 致 。 

[R3-aaa-domain-huaweiyu]authentication-scheme huawei_1 

退回 到 AAA 视图 ， 使 用 local-user 命令 配置 存储 在 本 地 ， 为 对 端 认 证 方 所 使 用 的 用 
户 名 为 R1@huaweiyu， 密 码 为 Huawei。 

[R3-aaajlocal-user R1@huaweiyu password cipher Huawei 

[R3-aaallocal-user R1@huaweiyu service-type ppp 


配置 完成 后 ， 关 闭 R1 与 R3 相连 接口 一 段 时 间 后 再 打开 ， 使 R1 与 R3 间 的 链 路 重 
新 协商 ， 并 检查 链 路 状态 和 连通 性 。 

[R3]interface Serial 4/0/0 

[R3-Serial4/0/0]shutdown 

[R3-Serial4/0/0]undo shutdown 


<Rl>display ip interface brief 
*down: administratively down 


see 


Interface IP Address/Mask Physical Protocol 


Serial4/0/0 10.0.13.1/24 wp down 
Serial4/0/1 unassigned down down 


<R3>ping 10.0.13.1 | 

PING 10.0.13.1: 56 data bytes, press CTRL_C to break 

Request time out 

Request time out i 
Request time out 

Request time out 

Request time out 


可 以 观察 到 ,现在 Rl 与 R3 间 无 法 正常 通信 ， 链 路 物理 状态 正常 ， 但 是 链 路 层 协议 


状态 不 正常 。 这 是 因为 此 时 PPP 链 路 上 的 PAP 认证 未 通过 
备 R3， 还 需要 在 认证 方 R1 上 配置 相关 PAP 认证 参数 。 
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在 Rl 上 的 S 4/0/0 接口 下 ， 使 用 ppp pap local-user 命令 配置 本 端 被 对 端 


式 验 证 时 本 地 发 送 的 PAP 用 户 名 和 密码 。 


[R1jinterface Serial 4/0/0 

[R1-Serial4/0/0]ppp pap local-user Rl1@huaweiyu password cipher Huawei 
配置 完成 后 ， 再 次 查看 链 路 状态 并 测试 连通 性 。 
[R1]display ip interface brief 

*down: administratiyely down 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.1.254/24 up up 
GigabitEthernet0/0/1 unassigned down down 
GigabitEthernet0/0/2 unassigned down down 
NULL0 unassigned up up(s) 
Serial4/0/0 | 10.0.13.1/24 up up 
Serial4/0/1 unassigned down down 


<R1>ping 10.0.13.3 

PING 10.0.13.3: 56 data bytes, press CTRL_C to break 

Reply from 10.0.13.3: bytes=56 Sequence=1 ttl=255 time=70 ms 
Reply from 10.0.13.3: bytes=56 Sequence=2 ttl=255 time=30 ms 
Reply from 10.0.13.3: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 10.0.13.3: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 10.0.13.3: bytes=56 Sequence=5 ttl=255 time=10 ms 
=- 10.0,13.3 ping statistics -~ 

5 packet(s) transmitted 

$5 packet(s) received 

0:00% packet loss 

round-trip min/avg/max = 10/40/70 ms 


可 以 观察 到 ， 现 在 Ri 与 R3 间 的 链 路 层 协 议 状 态 正常 ， 并 且 可 以 正常 通信 


测试 PC-1 与 PC-2 的 连通 性 。 


PC>ping 10.0.2.1 

Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break 
From 10.0.2.1: bytes=32 seq=1 ttl=125 time=31 ms 
From 10.0.2.1: bytes=32 seq=2 ttl=125 time=63 ms 
From 10.0.2.1: bytes=32 seq=3 ttl=125 time=47 ms 
From 10.0.2.1: bytes=32 seq=4 ttl=125 time=31 ms 
From 10.0.2.1; bytes=32 seq=5 ttl=125 time=31 ms 
~- 10.0.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/40/63 ms 


总 部 与 分 文 间 的 终端 通信 正常 。 
4. 配置 PPP 的 CHAP 认证 
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， 现在 仅仅 配置 了 被 认证 方 设 


以 PAP 方 


公司 网 络 管理 员 在 日 常 网 络 维护 中 发 现 ， 分 部 公司 频繁 遭受 攻击 ，PPP 认证 密码 


经 党 被 盗用 ， 遂 对 网 络 状况 进行 分 析 。 抓 取 R1 的 S 4/0/0 数据 包 进 行 分 析 ， 如 图 11-3 
所 示 。 
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PPP Password Authentication Protocol 
Code: Authenticate-Request (Ox01) 
Identifier: 0x01 
Length: 23 

a Data (19 bytes) 

已 Peer ID length: 11 bytes 
Peer-ID (11 bytes) 
日 Password length: 6 bytes 

RC TT ES 


11-3” 抓 包 观 察 


可 以 观察 到 ， 在 数据 包 中 很 容易 找到 所 配置 的 用 户 名 和 密码 。“Peer-ID” 显 示 内 容 
为 用 户 名 ,“Password” 显 示 内 容 为 密码 ， 可 以 查看 具体 内 容 ， 如 图 11-4 所 示 。 





图 11-4 抓 包 观 察 


很 容易 找到 用 户 名 为 R1@huaweiyu， 密 码 为 Huawei。 由 此 验证 了 使 用 PAP 认证 时 ， 
口令 将 以 明文 方式 在 链 路 上 传送 ， 并 且 由 于 完成 PPP 链 路 建立 后 ， 被 认证 方 会 不 停 地 在 
链 路 上 反复 发 送 用 户 名 和 口令 ， 直 到 身份 认证 过 程 结束 ， 所 以 不 能 防止 攻击 。 而 使 用 
CHAP 认证 时 ， 口令 用 MD5 算法 加 密 后 在 链 路 上 发 送 ， 能 有 效 地 防止 攻击 。 为 了 进 一 
步 提高 链 路 安全 性 ， 网 络 管理 员 需 要 重新 部 署 PPP 的 CHAP 认证 。 

首先 删除 原 有 的 PAP 认证 配置 ， 域 名 保持 不 变 。 


[R3jinterface Serial 4/0/0 
[R3-Serial4/0/0jundo ppp authentication-mode 


[RIJinterface Serial 4/0/0 
[RI1-Serial4/0/0Jundo ppp pap local-user 
删除 后 ， 在 认证 设备 R3 的 S 4/0/0 接口 下 配置 PPP 的 认证 方式 为 CHAP。 
[R3]Jinterface Serial 4/0/0 
[R3-Serial4/0/0]ppp authentication-mode CHAP 
配置 存储 在 本 地 ， 对 端 认证 方 所 使 用 的 用 户 名 为 R1， 密 码 为 huawei。 
[R3] 
Pe R1 password cipher huawei 
[R3-aaallocal-user Rl] service-type ppp 
其 余 认证 方案 和 域 的 配置 保持 不 变 。 
配置 完成 后 ， 关 闭 R1 与 R3 相连 接口 一 段 时 间 后 再 打开 ， 使 链 路 重新 协商 。 查 看 链 
[R3]interface Serial4/0/0 
[R3-Serial4/0/0]shutdown 
[R3-Serial4/0/0]undo shutdown 


<R3>display ip interface brief 
*down: administratively down 


sss 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.23.3/24 up up 

GigabitEthernet0/0/1 unassigned down down 
GigabitEthermnet0/0/2 unassigned down down 
NULLO unassigned up up(s) 


Serial4/0/0 2 DO.3/24 Up down 
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可 以 观察 到 ， 目 前 R1 与 R3 间 的 链 路 层 协议 状态 不 正常 ， 无 法 正常 通信 。 这 是 由 于 
此 时 被 认证 方 R1 上 还 没有 配置 用 户 名 和 密码 。 
在 Rl 的 S 4/0/0 接口 下 配置 CHAP 认证 的 用 户 名 和 密码 。 


配置 完成 ， 测 试 R1 与 R3 的 连通 性 。 


认证 通过 ，R1 与 R3 间 通信 正常 ， 再 测试 分 支 PC-1 和 总 部 PC-2 间 的 连通 性 。 


| RI 的 S 4/010 接 下 了 天 所 看， 如 图 11-5 所 


-rr 
Saorir: 至 
BaData (19 Den 


Value Size: 
Ve lie leds3s9a08feGes20dr81aa49ebe4s 


图 11-5 抓 包 观 察 
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可 以 观察 到 ， 现 在 数据 包 内 容 已 经 为 加 密 方 式 发 送 ， 无 法 被 攻击 者 截获 认证 密码 ， 
安全 性 得 到 了 提升 。 


思考 


当 PPP 链 路 UP 后 ， 在 PPP 链 路 一 端 加 上 认证 配置 而 男 一 端 不 加 ， 为 什么 一 定 要 重 
启 端口 后 认证 才能 生效 ? 


11.3” 帧 中 继 基本 配置 


原理 概述 


帧 中 继 (Frame Relay) 是 一 种 面向 连接 的 数据 链 路 层 技 术 ， 主 要 用 在 公共 或 专用 网 
上 的 局 域 网 互联 以 及 广域网 连接 。 

帧 中 继 协议 是 一 种 简化 X.25 的 广域网 协议 , 它 在 控制 层面 上 提供 虚 电 路 的 管理 、 带 
宽 管理 和 防止 阻塞 等 功能 。 在 传送 数据 时 使 用 的 传输 链 路 是 逻辑 连接 , 而 不 是 物理 连接 。 
在 一 个 物理 连接 上 可 以 复 用 多 个 逻辑 连接 ， 实 现 带宽 的 复 用 和 动态 分 配 ， 帧 透明 传输 和 
错误 检测 ， 但 不 提供 重 传 操作 。 与 传统 的 电路 交换 相 比 ， 帧 中 继 网 络 有 利于 多 用 户 、 多 
速率 数据 的 传输 ， 也 充分 利用 了 网 络 资源 。 

帧 中 继 网 络 两 端的 设备 用 虚 电 路 来 连接 。 每 条 虚 电 路 是 用 数据 链 路 连接 标识 符 定义 
的 一 条 帧 中 继 连接 通道 ， 提 供 了 用 户 设备 〈 如 路 由 器 和 主机 等 ) 之 间 进 行 数据 通信 的 能 
力 。 帧 中 继 网 络 的 相关 术语 如 下 : 

下 DTE (Data Terminal Equipment， 数 据 终端 设备 ): 通常 指 用 户 侧 的 主机 或 终端 等 ; 

加 DCE (Data Circuit-terminating Equipment， 数 据 电 路 终结 设备 ): 为 用 户 设备 提供 
接 入 的 设备 ， 属 于 网 络 设备 ， 如 帧 中 继 交 换 机 ; 

加 DLCI (Data Link Connection Identifier， 数 据 链 路 连接 标识 ): 虚 链 路 接口 的 标识 。 
帧 中 继 能 够 在 单一 物理 传输 线路 上 提供 多 条 虚 电 路 ， 虚 电路 便 通 过 DLCI 来 区 分 ; 

国 PVC (Permanent Virtual Circuit， 永 久 虚 电路 ): 永久 虚 电 路 是 指 给 用 户 提供 固定 
的 虚 电 路 ， 该 电路 一 旦 建立 ， 则 链 路 永远 生效 ， 除 非 管 理 员 手动 删除 。PVC 用 于 两 端 之 
间 频 繁 的 、 流 量 稳定 的 数据 传输 。 

道 向 地 址 解析 协议 (Inverse ARP) 的 主要 功能 是 求解 每 条 虚 电 路 连接 的 对 端 设备 的 
IP 地 址 。 如 果 知道 了 某 条 虚 电 路 连接 的 对 端 设备 的 IP 协议 地 址 ， 在 本 地 就 可 以 生成 对 
端 他 地 址 与 DLCI 的 映射 (MAP)， 从 而 避免 手工 配置 地 址 映射 。 


实验 目的 


。 掌握 帧 中 继 交 换 机 的 配置 

。 掌握 动态 映射 的 配置 

。 掌握 静态 映射 的 配置 

。 掌握 子 接口 和 DLCI 的 映射 配置 
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实验 内 容 


本 实验 模拟 企业 网 络 场景 。 公 司 A 的 总 部 和 分 部 分 别 设 在 不 同 地 方 ， 总 部 路 由 器 
R1 和 分 部 路 由 器 R2 通过 帧 中 继 网 络 相 连 ， 总 部 与 分 部 之 间 申 请 了 一 条 PVC。 由 于 业务 
的 发 展 ， 公 司 A 与 公司 B 有 了 密切 的 业务 来 往 ， 公 司 B 路 由 器 R3 也 采用 帧 利 继 并 使 用 
动态 映射 方式 与 公司 A 相连 , 即 只 能 与 公司 A 总 部 直接 通信 。 现 需 要 采用 帧 中 继 子 接口 
配置 和 静态 路 由 使 R3 能 通过 RI1 访问 R2， 实 现 全 网 全 通 。 


实验 拓扑 
帧 中 继 基 本 配置 的 拓扑 如 图 11-6 所 示 。 


公司 A 总 部 公司 A 分 部 
EE FRSW 
委 serial 1/0/0 I 说 WW eial 1/0/0 pr 
i ©-- -------- @ - - -I 
Serial 0/0/1 Sa Serial 0/0/2 RR 
RI R2 
| 
@ Serial 0/0/3 
‘Serial WOOT | 
wal 1 
1 
WW ， 
1 
| 
1 
gg Serial 1/0/0 
2 
民 
R3 
公司 B 


图 11-6 帧 中 继 基 本 配置 拓扑 


实验 编 址 


实验 编 址 见 表 11-3。 


表 11-3 实验 编 址 





R1 CAR1220) | Serial V0/ 11.1.1.1 255.255.255.0 N/A 
Serial 1/0/0.1 22.1.1.1 255.255.255.0 


R2 (AR1220) | Serial 1/0/0 11.1.1.2 | 255.255.255.0 
R3 (AR1220) | Serial 1/0/0 22.1.1.3 | 255.255.255.0 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 。 
在 帧 中 继 交 换 机 上 配置 两 条 PVC，R1 和 R2 一 条 ，R1 和 R3 一条。 
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(1) 在 帧 中 继 交 换 机 上 建立 一 条 PVC， 这 条 PVC 在 S 0/0/1 接口 上 分 配 DLCI 为 102， 
在 S 0/0/2 接口 上 分 配 DLCI 201， 二 者 同属 于 一 条 PVC， 如 图 11-7 所 示 。 


Src: Interface Src: DLCI Dst: Interface ，Dst DLCI 
Serial 0/0/1 102 Seralonf2 201 





图 11-7 创建 Rl 与 R2 间 的 PVC 


(2) 如 图 11-8 所 示 ， 在 帧 中 继 交 换 机 上 建立 另 一 条 PVC， 这 条 PVC 在 S 0/0/1 接口 
上 分 配 DLCI 为 103， 在 S 0/0/3 接口 上 分 配 DLCI 301， 二 者 同 属于 另 一 条 PVC。 





Seralonil 102 Seralon2 201 
Serial O/O/1 103 Serial 0/0/3 301 








图 11-8 创建 Rl 与 R3 间 的 PVC 
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2. 静态 与 动态 映射 的 配置 

帧 中 继 接口 在 转发 数据 包 时 必须 查找 帧 中 继 地 址 映射 表 来 确定 下 一 跳 的 DLCI。 地 
址 映射 表 中 存放 对 端 卫 地 址 和 下 一 跳 的 的 DLCI 的 映射 关系 ,只 有 找到 相应 的 映射 表 项 ， 
才能 完成 二 层 帧 中 继 报 头 的 封装 ,这 个 机 制 类 似 于 以 太 网 中 的 ARP 机 制 。 该 地 址 映射 表 
可 以 手动 配置 (静态 )， 也 可 以 使 用 Inverse ARP 协议 来 自动 建立 〈 动 态 )。 

公司 A 总 部 使 用 动态 映射 ， 在 R1 的 S 1/0/0 接口 配置 链 路 层 协议 为 FR， 并 使 用 位 
inarp 命令 允许 帧 中 继 逆 向 地 址 解析 功能 自动 生成 地 址 映射 表 。 

[R1jinterface Serial 1/0/0 

[R1-Seriall/0/0]link-protocol 人 i 


Wipe ap orb of the link will be changed, Continue? [Y/N]:y 
[R1-Seriall/0/0]fr inarp 


注意 ， 默 认 情 况 下 ， 串 行 接口 使 用 的 链 路 层 协议 为 PPP 协议 ， 当 试图 改变 接口 默认 
的 封装 方式 的 时 候 ， 路 由 器 会 弹出 一 个 警告 ， 输 入 “y” 即 可 。 此 外 ， 帧 中 继 接 口 的 逆向 
地 址 解析 功能 默认 是 开局 的 ， 所 以 fr inarp a dey 
公司 A 分 部 由 于 只 需要 与 总 部 通信 和 即 可 ,使 用 静态 映射 ， 在 R2 的 S 1/0/0 接口 下 配 
置 链 路 层 协 议 为 FR， 关 闭 逆 向 解析 功能 ， 使 用 fr map ip 命令 手工 配置 Rl1 的 全 地址 与 
DLCI 的 静态 映射 。 
[R21interface Serial 1/0/0 
[R2-Serial1/0/0]link-protocol 个 
Warmning: The encapsulation protocol of the link will be changed. Continue? [Y/N]J:y 
[R2-Seriall/0/0Jundo fr inarp 
[R2-Seriall/0/0]fr map ip 10.1.1.1 201 
将 Rl 的 人 地 址 与 R2 本 端 DLCI 201 配置 为 一 条 静态 地 址 映射 ， 即 R2 通过 下 一 跳 
DLCI 201 来 访问 R1。 
默认 情况 下 ， 帧 中 继 不 支持 广播 或 组 播 数据 的 转发 。 如 果 需 要 在 帧 中 继 上 运行 一 些 
动态 路 由 协议 ， 比 如 OSPF 协议 ， 需要 在 静态 映射 后 面 添加 broadcast 参数 ， 从 而 使 PVC 
能 够 正常 发 送 来 自 路 由 协议 的 广播 或 组 播 流 量 。 
[R2]interface Serial 1/0/0 
[R2-Seriall/0/0]fr map ip 11.1.1.1 201 broadcast 
配置 完成 后 ， 在 R1 和 R2 上 使 用 display fr pvc-info 命令 查看 PVC 的 建立 情况 
<Rl>display fr pve-info 
PVC statistics for interface Seriall/0/0 (DTE, physical UP) 
DLCI= 102, USAGE = UNUSED (00000000), Serial1/0/0 
create time = 2013/06/28 07:11:45, status = ACTIVE 
InARP = Enable, PVC-GROUP = NONE 
in packets = 0, in bytes = 0 
out packets = 50, out bytes = 1500 


DLCI= 103, USAGE = UNUSED (00000000), Seriall/0/0 
create time = 2013/06/28 07:11:45, status = ACTIVE 
InARP= Enable, PVC-GROUP = NONE 
in packets = 0, in bytes= 0 
out packets = 45, out bytes = 1350 


<R2>display fr pve-info 
PVC statistics for interface Seriall/0/0 (DTE, physical UP) 
DLCI = 201, USAGE = LOCAL (00000100), Serial1/0/0 
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create time = 2013/06/28 07:11:45, status =ACTIVE 
InARP = Disable, PVC-GROUP = NONE 
in packets = 0, in bytes = 0 
out packets = 50, out bytes = 1500 
可 以 观察 到 ，R1 上 有 两 条 PVC， 而 且 都 为 激活 状态 。R2 上 的 PVC 也 为 激活 状态 。 
使 用 ping 命令 测试 Rl 与 R2 之 间 的 连通 性 。 
<Rl>ping 11.1.1.2 
BING 11.1.1.2: 56 data bytes, press CTRL_C to break 
Reply from 11.1.1.2: bytes=56 Sequence=] ttl=255 time=540 ms 
Reply from 11.1.1.2: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 11.1.1.2: bytes=56 Sequence=3 ttl=255 time=70 ms 
Reply from 11.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 11.1.1.2: bytes=56 Sequence=5 ttl=255 time=50 ms 


此 时 Rl1 和 R2 已 经 正常 通信 。 
3. 子 接 口 配置 和 静态 路 由 
由 于 业务 需要 ， 公 司 B 需 和 公司 A 互相 通信 。 
公司 B 和 公司 A 总 部 之 间 互 连 IP 网 段 使 用 22.1.1.0/24。 在 R3 的 S 1/0/0 接口 配置 
链 路 层 协议 为 FR， 并 保持 默认 开启 的 逆向 地 址 解析 功能 。 
[R3]Jinterface serial 1/0/0 
[R3-Seriall/0/0Jip address 22.1.1.3 24 
[R3-Seriall/0/0]link-protocol fr 
配置 完成 后 ， 在 R3 上 使 用 display fr pve-info 命令 查看 PVC 建立 的 情况 。 
<R3>display fr pvc-info 
PVC statistics for interface Seriall/0/0 (DTE, physical UP) 
DLCI= 301, USAGE = UNUSED (00000000), Seriall/0/0 
create time = 2013/06/28 08:07:06, status = ACTIVE 
InARP = Enable, PVC-GROUP = NONE 
in packets = 0, in bytes = 0 
out packets = 65, out bytes = 2298 
可 以 观察 到 ， 此 时 R3 的 PVC 已 经 激活 。 
为 实现 与 R3 的 互相 通信 ， 需 要 在 R1 上 创建 子 接口 S 1/0/0.1， 配 置 与 R3 同 网 段 的 
PP 地 址 ， 并 手工 指定 本 地 DLCI 配置 虚 电 路 。 


[R1Jinterface Serial 1/0/0.1 
[RI1-Seriall/0/0.1]ip address 22.1.1.1 24 
[1-Seriall/0/0.1]fr dlci 103 
默认 情况 下 ， 帧 中 继 交 换 机 分 配 的 DLCI 都 关联 到 用 户 设备 的 物理 接口 上 ， 而 子 接 
口 关联 的 DLCI 需要 手动 指定 。 
配置 完成 后 ， 测 试 R1 与 R3 间 能 否 正常 通信 。 
<R1l>ping 22.1.1.3 
PING 22.1.1.3: 56 data bytes, press CTRL_C to break 
Reply from 22.1.1.3; bytes=56 Sequence=1 ttl=255 time=50 ms 
Reply from 22.1.1.3: bytes=56 Sequence=2 ttj=255 time=40 ms A 
Reply from 22.1.1.3: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 22.1.1.3: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 22.1.1.3: bytes=56 Sequence=5 ttl=255 time=30 ms 
可 以 观察 到 ，R1 和 R3 已 经 正常 通信 。 测 试 R2 与 R3 间 能 否 正常 通信 。 


<R3>ping 11.1.1.2 
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PING 11.1.1.2: 56 data bytes, press CTRL_C to break 
Request time out 
Request time out 
Request time out 
Request time out 
eghest time ont 
无 法 正常 通信 。 这 是 因为 R2 与 R3 不 在 同一 个 网 段 上 , 需要 有 到 达 对 方 的 路 由 才能 
为 了 使 R2 和 R3 能 够 互相 通信 ,在 R3 上 配置 静态 路 由 ， 目 的 地 址 为 R2， 下 一 跳 为 
R1 的 子 接口 地 址 ; 同样 在 R2 上 也 需要 配置 静态 路 由 ， 目 的 地 址 为 R3， 下 一 跳 为 Rl 的 
S 1/0/0 接口 地 址 。 


[R3]ip route-static 11.1.1.2 32 22.1.1.1 


[R2]ip route-static 22.1.1.3 32 11.1.1.1 
由 此 使 R2 与 R3 之 间 可 以 通过 R1 来 通信 ， 使 用 ping 命令 检查 它们 之 间 的 连通 性 。 
<R3>ping 11.1.1.2 | 
PING 11.1.1.2: 56 ”data bytes, press CTRL C to break 

Reply from 11.1.1.2: bytes=56 Sequence=l ttl=254 time=110 ms 

Reply from 11.1.1.2: bytes=56 Sequence=2 ttl=254 time=90 ms 

Reply from 11.1,1.2: bytes=56 Sequence=3 ttl=254 time=110 ms 

Reply from 11.1.1.2: bytes=56 Sequence=4 ttl=254 time=90 ms 

Reply from 11.1.1.2: bytes=56 Sequence=5 ttl=254 time=90 ms 


sn 


可 以 观察 到 ，R2 和 R3 间 已 经 能 够 正常 通信 。 使 用 tracert 命令 查看 它们 之 间 的 路 径 。 
<R3>tracert 11.1.1.2 

traceroute to 11.1.1.2(10.1.1.2), max hops: 30 ,packet length: 40,press CTRL _C to break 

1 22.1.1.1S0ms 40ms 40ms 

2 11.1.1.2140ms 90ms 70ms 


可 以 观察 到 ，R3 去 往 R2 的 流量 经 过 了 R1。 至 此 ， 公 司 A 与 公司 B 所 有 的 设备 间 
都 能 正常 通信 。 
思考 

帧 中 继 中 动态 映射 的 过 程 是 怎样 的 ? 它 和 ARP 机 制 的 区 别 在 哪里 ? 


11.4 OSPF 在 帧 中 继 网 络 中 的 配置 


原理 概述 


OSPF 将 网 络 分 为 4 种 不 同 的 类 型 ， 即 Point-to-Point、Broadcast、NBMA 及 
Point-to-MultiPoint， 不 同 网 络 类 型 下 OSPF 的 工作 机 制 不 一 样 。 比 如 ， 在 Broadcast 网 络 
中 ，OSPF 能 够 直接 建立 邻居 邻接 关系 ; 在 NBMA 网 络 中 默认 必须 手工 指定 邻居 等 。 在 
实际 网 络 中 ， 可 通过 配置 接口 的 网 络 类 型 来 强制 改变 默认 的 接口 的 网 络 类 型 。 在 帧 中 继 
的 环境 中 ，OSPF 默认 的 网 络 类 型 是 NBMA。 
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实验 目的 


。 掌握 OSPF 在 帧 中 继 网 络 中 的 配置 方法 
e 理解 Hub-Spoke 组 网 架构 
。 掌握 在 帧 中 继 网 络 中 排除 OSPF 故障 的 方法 


场景 


某 公 司 的 网 络 使 用 OSPF 协议 , 该 公司 由 一 个 总 部 和 两 个 分 支 机 构 组 成 。R1 为 总 部 
路 由 器 ，R2 和 R3 分 别 是 两 个 分 支 机 构 的 出 口 路 由 器 。 两 分 支 机 构 都 是 通过 租用 运营 商 
的 帧 中 继 虚 电路 来 与 总 部 通信 的 。 但 为 了 节省 成 本 ， 两 个 分 支 机 构 间 没有 直接 互联 的 虚 
电路 ， 即 典型 的 Hub-Spoke 组 网 架构 ，R1 为 Hub 端 设 备 ，R2、R3 为 Spoke 端 设备 。 


实验 拓扑 
配置 OSPF 帧 中 继 网 络 的 拓扑 如 图 11-9 所 示 。 


R1 


+ Serial 1/0/0 
1 
1 

DECIH02 ! DLCI103 
» Serial 0/0/0 


1 
Serial 0/0/1 .~ 


、。Serial 0/0/2 
BuCf201 


AFRSW IT. 
Zz 、 
`、 、、 
、 
2 ee 
、 


“ 
-Serial 1/0/0 Serial 1/0/0"、 、 
R2 


图 11-9 配置 OSPF 帧 中 继 网 络 拓扑 


R3 


实验 编 址 
实验 编 址 见 表 11-4。 
表 11-4 实验 编 址 


设备 | 接口。 | IP 地 址 | 子 网 按 码 | 默认 网 关 
pe 
2552552550 







N/A 
102/103 














R2 (AR2220) 





R3 (AR2220) 
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实验 步骤 


1. 基本 配置 

在 公司 总 部 路 由 器 R1 和 两 个 分 部 的 路 由 器 R2、R3 上 配置 帧 中 继 接 口 , 关闭 帧 中 继 
逆向 地 址 解析 功能 。 

首先 根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 配置 帧 中 继 静 态 地 址 映射 环 
回 接口 的 掩 码 为 32 位 ， 用 来 模拟 公司 总 部 和 分 部 的 主机 。 注 意 将 R1 设置 为 DR， 调整 
其 DR 优先 级 为 100。 


可 以 观察 到 ，PVC 处 于 ACTIVE 状态 表示 正常 
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DLCI = 102, IP 10.0.123.2, Seriall/0/0 
create time = 2013/05/30 20:35;41, status =ACTIVE 
encapsulation = ietf, vlink = 1 
DLCI= 103, IP 10.0.123.3, Seriall/0/0 
create time = 2013/05/30 20:35:52, status = ACTIVE 
encapsulation = ietf, vlink = 2 
检查 Rl 与 R2，R1 与 R3 间 的 网 络 连通 性 。 
<R1>ping 10.0.123.2 
PING 10.0.123.2: 56 data bytes, press CTRL_C to break 
Reply from 10.0.123.2: bytes=56 Sequence=] ttl=255 time=60 ms 
Reply from 10.0.123.2: bytes=56 Sequence=2 ttl=255 time=20 ms 
Reply from 10.0.123,.2; bytes=56 Sequence=3 ttl=255 time=40 ms 
Reply from 10.0.123.2: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.123.2: bytes=56 Sequence=5 ttl=255 time=30 ms 
--- 10.0.123.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 20/36/60 ms 


<R1>ping 10.0.123.3 
PING 10.0.123.3: 56 data bytes, press CTRL C to break 
Reply from 10.0.123.3: bytes=56 Sequence=] tt]=255 time=30 ms 
Reply from 10.0.123.3: bytes=56 Sequence=2 ttl=255 time=30 ms 
Reply from 10.0.123.3: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 10.0.123.3: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 10.0.123.3: bytes=56 Sequence=5 ttl=255 time=40 ms 
—- 10.0.123.3 ping statistics -一 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/38/50 ms 
此 时 通信 正常 。 
2. 在 帧 中 继 上 搭建 OSPF 网 络 
在 RI、R2 和 R3 上 配置 OSPF 协议 。 由 于 网 络 拓扑 简单 ， 采 用 OSPF 的 单 区 域 配置 
即 可 ， 指 定 它 们 各 自 的 环 回 接口 地 址 作为 Router-ID， 所 有 网 段 都 属于 区 域 0。 


[Rl1]ospf 1 router-id 10.1.1.1 

[Rl-ospf-llarea 0 

[Rl1-ospf-1-area-0.0.0.0Jjnetwork 10.0.123.1 0.0.0.255 
[Rl-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0 


[R2]ospf 1 router-id 10.1.2.2 
[R2-0spf-1Jarea 0 

[R2-osp 人 1-area-0.0.0.0]jnetwork 10.0.123.2.0.0.0.255 2 
[R2-0spf-1-area-0.0.0.0]network 10.1.2.2 0.0.0.0 


[R3]ospf 1 router-id 10.1.3.3 
[R3-0spf-1]Jarea 0 
[R3-ospf-1-area-0.0.0.0]network 10.0.123.3 0.0.0.255 


第 11 章 广域网 347 


[R3-ospf-1-area-0.0.0.0Jnetwork 10.1.3.3 0.0.0.0 

配置 完成 后 ， 查 看 OSPF 的 邻居 建立 情况 。 

<R1>display ospf peer en 

OSPF Process 1 with Router-ID 10.1.1.1 、 

发 现 无 法 正常 建立 邻居 ， 这 是 明显 的 网 络 故障 ， 现 在 网 络 管理 员 需 要 立刻 进行 分 析 
排除 故障 。 排 障 的 时 候 需 要 注意 遵循 从 底层 逐步 往 上 层 排 查 的 顺序 ， 即 先 检 查 物 理 层 线 
缆 是 否 正 常 ， 然 后 检查 二 层 链 路 的 连通 性 ， 再 检查 三 层 路 由 协议 的 运行 情况 ， 最 后 检查 
高 层 相 关 应 用 是 否 正常 。 

物理 层 检查 这 里 省 略 ， 首 先 测试 直 连 线路 的 连通 性 。 

[RI1]ping 10.0.123.2 

PING 10.0.123.2: 56 data bytes, press CTRL_C to break 
Reply from 10.0.123.2: bytes=56 Sequence=] ttl=255 time=100 ms 
Reply from 10.0.123.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.0.123,2: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.0.123.2: bytes=56 Sequence=4 tl=255 time=10 ms 
Reply from 10.0.123.2: bytes=56 Sequence=5 ttl=255 time=10 ms 

--- 10.0.123.2 ping statistics -~- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 10/28/100 ms 


直 连 链 路 连通 性 没有 问题 。 再 查看 三 层 路 由 协议 ， 即 相应 接口 否 被 通告 到 OSPF 进 


程 中 。 

[Rl]display ospf interface 

OSPF Process 1 with Router-ID 10.1.1.1 

Interfaces 

Area: 0.0.0.0 “(MPLS TE not enabled) 
IP Address Type Ss, Gan pn DR BDR 
PE 
OU 寻 有 P-2-P 0 1 0.0.0.0 0.0.0.0 


观察 到 所 有 接口 已 经 被 通告 进入 OSPF 进程 。 
此 时 可 以 对 R1 的 S 1/0/0 接口 进行 抓 包 分 析 , 查看 协议 的 运行 情况 , 如 图 11-10 所 示 。 


STATUS ENQUIRYLMA TF OM me Pp 
.000000 Q.933 STATUS 
Q.933 ”STATUS ENQUIRY[Malformed P; 
Q.933 STATUS 
Q.933 STATUS ENQUIRY[Malformed P， 
Q.933 STATUS 
Q.933 STATUS ENQUIRY[Malformed P; 
Q.933 STATUS 
Q.933 STATUS ENQUIRY[Malformed Pi 
Q.933 STATUS 
Q.933 STATUS ENQUIRY[Malformed P, 
Q.933 STATUS 
Q.933 STATUS ENQUIRY[Malformed Pi 
Q.933 STATUS 


图 11-10 ” 抓 包 观 察 


发 现 R1 始终 没有 向 外 发 送 OSPF 数据 包 。 这 是 由 于 OSPF 在 帧 中 继 上 默认 的 网 络 类 
型 为 NBMA， 即 非 广播 多 路 访问 。 这 种 网 络 类 型 的 特点 是 不 支持 广播 和 组 播 的 数据 包 ， 
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而 OSPF 协议 默认 是 采用 组 播 方式 发 送 报 文 ， 所 以 设备 的 OSPF 报 文 无 法 在 帧 中 继 链 路 
上 进行 发 送 ， 导 致 没有 成 功 建立 邻居 关系 。 
这 时 可 以 采用 peer 命令 手工 指定 OSPF 邻居 ， 采 用 单 播 方式 发 送 报 文 。 


配置 完成 后 ， 再 次 检查 OSPF 的 邻居 关系 状态 。 ” 


可 以 观察 到 ， 这 时 R1 与 R2、R3 都 建立 了 完全 的 邻接 关系 。 再 查看 R1、R2、R3 
的 路 由 表 。 J 
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<R3>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations ; 2 Routes : 2 
OSPF routing table status : <Active> 
Destinations : 2 Routes :2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.1/32 OSPF 10 48 D 10.0.123,1 Seriall/0/0 
10.1.2.2/32 二 QSPF 10 48 D 10.0.123.2 Seriall/0/0 
OSPF routing table status : <Inactive> 
Destinations :0 Routes :0 


可 以 观察 到 此 时 的 R1I、R2、R3 路 由 表 中 都 互相 接收 到 了 各 自 环 回 口 所 在 网 段 的 路 
由 条 目 。 测 试 环 回 口 之 间 的 连通 性 。 
<R1>ping -a 10.1.1.1 10.1.2.2 
PING 10.1.2.2: 56 data bytes, press CTRL_C to break 
Reply from 10.1.2.2; bytes=56 Sequence=1 tt=255 time=10 ms 
Reply from 10.1.2.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.1.2.2: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.1.2.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 10.1.2.2: bytes=56 Sequence=5 ttl=255 time=10 ms 
~-- 10.1.2.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/12/20 ms 


<R1>ping -a 10.1.1.1 10.1.3.3 
PING 10.1.3.3; 56 data bytes, press CTRL_C to break 
Reply from 10.1.3.3: bytes=56 Sequence=] ttl=255 time=20 ms 
Reply from 10.1.3.3: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.1.3.3: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.1.3.3; bytes=56 Sequence=4 ttl=255 ttme=10 ms 
Reply from 10.1.3.3: bytes=56 Sequence=5 ttl=255 time=10 ms 
~- 10.1.3.3 ping statistics -- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/12/20 ms 


此 时 Rl 与 R2, RI1 与 R3 之 间 的 环 回 口 通信 正常 ,。 测试 R2 与 R3 环 回 口 之 间 的 通信 


<R2>ping -a 10.1.2.2 10.1.3.3 
PING 10.1.3.3: 56 data bytes, press CTRL_C to break 
Request time out 
Request time out 
Request time out 
Request time out 
Request time out 


wes 
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发 现 R2 无 法 连通 R3 的 环 回 口 。 此 时 网 络 管理 员 需 要 再 次 进行 排 障 。 物 理 链 路 和 二 
层 链 路 的 连通 性 测试 这 里 省 略 。 首 先 查看 R2 上 的 OSPF 路 由 条 目 ， 观 察 到 去 往 10.1.3.3 
的 网 段 下 一 跳 地 址 是 10.0.123.3。 

<R2>display ip routing protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 2 Routes : 2 
OSPF routing table status : <Active> 

Destinations : 2 Routes :2 
Destination/Mask ~ Proto Pre... Cost." Flags . .NextHop Interface 
10.1.1.1/32 OSPF 10 48 :DD 10.0.123.1 Seriall/0/0 
10.1.3.3/32 OSPF 10 48 D 10.0.123.3 Seriall/0/0 
OSPF routing table status : <Inactive> 

Destinations : 0 Routes :0 
然后 在 R2 上 查看 帧 中 继 映 射 关 系 。 
<R2>display fr map-info 


Map Statistics for interface Seriall/0/0 (DTE) 
DLCI= 201, IP 10.0.123.1, Seriall/0/0 
create time = 2013/06/23 20:06:07, status = ACTIVE 
encapsulation = ietf, vlink = 1 
可 以 观察 到 ， 此 时 没有 关于 10.0.123.3 的 映射 ， 如 果 R2 要 发 送 数 据 包 至 下 一 跳 
10.0.123.3， 但 无 法 知晓 该 从 哪 条 PVC 上 进行 发 送 和 封装 ， 可 以 使 用 PVC 复 用 技术 解决 
此 问题 。 这 时 需 在 R1 的 S 1/0/0 接口 下 添加 一 条 帧 中 继 静 态 映 射 , 通过 R1 与 R2 的 PVC 
去 往 10.0.123.3。 
[R2]interface Serial 1/0/0 
[R2-Seriall/0/0]fr map ip 10.0.123.3 201 
同样 需要 在 R3 上 也 添加 关于 10.0.123.2 的 相关 映射 。 
[R3jinterface Serial 1/0/0 
[R3-Seriall/0/0]fr map ip 10.0.123.2 301 
配置 完成 后 ， 再 在 R2 上 查看 帧 中 继 映 射 关 系 。 
<R2>display fr map-info 
Map Statistics for interface Serial1/0/0 (DTE) 
DLCI= 201, IP 10.0.123.1, Seriall/0/0 
create time = 2013/06/23 20:06:07, status = ACTIVE 
encapsulation = ietf, vlink = 1 
DLCI=201, IP 10.0.123.3, Seriall/0/0 
create time = 2013/06/23 20:06:07, status = ACTIVE 
encapsulation = ietf, vlink = 2 
此 时 可 以 观察 到 已 经 添加 上 了 相应 映射 。 
再 次 测试 R2 到 R3 环 回 口 的 连通 性 。 
[R2]ping -a 10.1.2.2 10.1.3.3 = 
PING 10.1.3.3: 56 data bytes, press CTRL _C to break 
- Reply from 10.1.3.3: bytes=56 Sequence=] ttl=254 time=50 ms 
Reply from 10.1.3.3: bytes=56 Sequence=2 ttl=254 time=20 ms 
Reply from 10.1,3.3: bytes=56 Sequence=3 ttl=254 time=30 ms 
Reply from 10.1.3.3: bytes=56 Sequence=4 ttl=254 time=20 ms 
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此 时 通信 正常 ， 所 有 问题 解决 。 
思考 
在 第 1 步 的 基本 配置 中 将 R1 的 DR 优先 级 设置 成 了 100， 为 什么 要 这 么 做 ? 
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12.1 “配置 基于 接口 地 址 池 的 DHCP 
12.2 配置 基于 全 局 地 址 池 的 DHCP 
12.3 配置 DHCP 中 继 
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12.1 配置 基于 接口 地 址 池 的 DHCP 


原理 概述 


随 着 网 络 规模 的 扩大 和 网 络 复杂 程度 的 提高 ， 计 算 机 位 置 变化 〈 如 便携 机 或 无 
线 网 络 ) 和 计算 机 数量 超过 可 分 配 的 IP 地 址 的 情况 将 会 经 常 出 现 。DHCP (Dynamic 
Host Configuration Protocol， 动态 主机 配置 协议 ) 就 是 为 满足 这 些 需 求 而 发 展 起 来 
的 。 DHCP 协议 采用 客户 端 /服务 器 (Client/Server) 方式 工作 , DHCP Client 向 DHCP 
Server 动态 地 请 求 配置 信息 ，DHCP Server 根据 策略 返回 相应 的 配置 信息 (如 IP 地 
址 等 )。 

DHCP 客户 端 首次 登录 网 络 时 ， 主 要 通过 4 个 阶段 与 DHCP 服务 器 建立 联系 。 

(1) 发 现 阶段 : 即 DHCP 客户 端 寻找 DHCP 服务 器 的 阶段 。 客 户 端 以 广播 方式 发 送 
DHCP_Discover 报 文 ， 只 有 DHCP 服务 器 才 会 进行 响应 。 

(2) 提供 阶段 : 即 DHCP 服务 器 提供 IP 地 址 的 阶段 - DHCP 服务 器 接收 到 客户 端的 
DHCP_Discover 报 文 后 ， 从 IP 地 址 池 中 挑选 一 个 尚未 分 配 的 人 P 地 址 分 配给 客户 端 ， 向 
该 客户 端 发 送 包 含 出 租 IP 地 址 和 其 他 设置 的 DHCP_Offer 报 文 。 

(3) 选择 阶段 : 即 DHCP 客户 端 选择 IP 地 址 的 阶段 。 如 果 有 多 台 DHCP 服务 器 向 
该 客户 端 发 来 DHCP_Offer 报 文 ， 客 户 端 只 接受 第 一 个 收 到 的 DHCP_Offer 报 文 ， 然 后 
以 广播 方式 向 各 DHCP 服务 器 回应 DHCP_Request 报 文 。 

(4) 确认 阶段 : 即 DHCP 服务 器 确认 所 提供 卫 地 址 的 阶段 。 当 DHCP 服务 器 收 到 
DHCP 客户 端 回答 的 DHCP_Request 报 文 后 ， 便 向 客户 端 发 送 包 含 它 所 提供 的 IP 地 址 和 
其 他 设置 的 DHCP_ACK 确认 报 文 。 


实验 目的 


。 掌握 DHCP Server 配置 方法 

。 掌握 基于 接口 地 址 池 的 DHCP Server 配置 方法 

。 掌握 配置 DHCP 租 期 /不 参与 自动 分 配 地 址 /DNS 服务 器 地 址 方法 
。 掌握 配置 和 检测 DHCP 客户 端的 方法 


实验 内 容 


本 实验 将 路 由 器 R1 模拟 成 为 公司 的 DHCP Server， 该 公司 市 场 部 和 财务 部 下 的 PC 
通过 DHCP 的 方式 自动 配置 下 地址 。 网络 管理 员 配 置 客户 端 PC 通过 接口 地 址 池 的 方式 
自动 获取 IP 地 址 。 


实验 拓扑 
配置 基于 接口 地 址 池 的 DHCP 拓扑 如 图 12-1 所 示 。 
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GE 0/0/0 GE 0/0/1 






Ethernet 0/0/1 Ethernet 0/0/1 


S2 








Ethernet 0/0/2 | Do 0/0/2 
Ethernet 0/0/1 Ethernet 0/0/1 
PC-1 二 
市 场 部 192.168.1.0/24 夺 男 部 192.168.2024 
图 12-1 配置 基于 接口 地 址 池 的 DHCP 拓扑 
实验 编 址 
实验 编 址 见 表 12-1。 


表 12-1 


R1 (CAR2220) 000 192. 168 1 1 . 254 255. 255. 255, 0 





GE 0/0/1 192.168.2.254 255.255.255.0 
Ethernet0/0/1 DHCP 获取 DHCP 获取 


Ethernet0/0/1 DHCP 获取 DHCP 获取 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 , 由 于 PC 是 通过 DHCP 自动 获取 地 址 ， 


暂时 无 法 测试 连通 性 。 交 换 机 为 二 层 设备 ， 无 需 配置 下 地 址 。 
[Rilinterface GigabitEthernet 0/0/0 
[R1-GigabitEthemet0/0/0]ip address 192.168. 1.254 24 


[R1-GigabitEthemet0/0/0Jinterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1Jip address 192.168.2.254 24 


2. 基于 接口 配置 DHCP Server 功能 

在 RI 上 开启 DHCP 功能 

[R1]dhcp enable 

在 Rl 的 GE 0/0/0 和 GE 0/0/1 接口 上 配置 dhep select interface 命令 ， 开 启 接口 的 
DHCP 服务 功能 ， 指 定 从 接口 地 址 池 分 配 地 址 。 

[Ri]interface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0jdhcp select interface 

[R1-GigabitEthemet0/0/0]jinterface GigabitEthernet 0/0/1 

[R1-GigabitEthernet0/0/1]dhcep select interface 

接口 地 址 池 可 动态 分 配 IP 地 址 ， 范 围 就 是 接口 的 PP 地 址 所 在 网 段 ， 且 只 在 此 接口 
下 有 效 。 当 DHCP 服务 器 接收 到 DHCP 客户 端的 请 求 报 文 后 ，DHCP 服务 器 将 会 使 用 该 
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接口 的 地 址 网 段 给 客户 端 分 配 地 址 。 

3. 配置 基于 接口 的 DHCP Server 租 期 /DNS 服务 器 地 址 

在 Rl 的 GE 0/0/0 接口 上 使 用 dhep server lease 命令 配置 DHCP 服务 器 接口 地 址 池 
中 IP 地址 的 租用 有 效 期 限 为 2 天 ，GE 0/0/1 接口 不 修改 ,使 用 默认 值 1 天 ， 超 过 租 期 后 
该 地 址 将 会 重新 分 配 。 

[R1Jinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]dhep server lease day 2 

在 GE 0/0/0 接 口上 使 用 dhcp server excluded-ip-address 命令 配置 接口 地 址 池 中 不 参 


与 自动 分 配 的 耳 地 址 范围 为 192.168.1.1 到 192.168.1.10。 
[R1]interface GigabitEthernet 0/0/0 . 
[R1-GigabitEthernet0/0/0Jdhep server excluded-ip-address 192.168.1.1 192.168.1.10 


有 些 地 址 需要 分 配给 其 他 服务 , 如 DNS 服务 器 或 HTTP 服务 器 等 需要 手工 静态 配置 
的 卫 地址, 就 不 能 再 动态 分 配给 客户 端 使 用 , 可 以 执行 该 命令 配置 地 址 池 中 不 参与 自动 
分 配 的 下 地址 (默认 该 地 址 池 所 有 地 址 参与 自动 分 配 ， 此 命令 作为 可 选 命 令 )。 

当 DHCP 服务 器 收 到 客户 端的 DHCP 请 求 时 ，DPCP 服务 器 将 会 选择 地 址 池 中 空闲 
的 卫 地 址 分 配给 客户 端 。GE 0/0/0 接口 地 址 池 中 192.168.1.1 一 192.168.1.10 不 参与 分 配 ， 
而 GE 0/0/1 接口 没有 配置 该 命令 ， 因 此 可 以 分 配 的 卫 地 址 范围 是 192.168.2.1 一 
192.168.2.253 〈 不 包括 本 接口 地 址 )。 

在 GE 0/0/1 接口 上 使 用 dhep server dns-list 命令 指定 接口 地 址 池 下 的 DNS 服务 器 ， 
为 PC-2 自动 分 配 DNS 服务 器 地 址 为 8.8.8.8。 


[R1-GigabitEthernet0/0/ 1]dhcp Server dns-list 8.8.8.8 
4. 配置 DHCP Client 


打开 PC-1 的 “基础 配置 ”选项 卡 ， 在 “IPv4 配置 ” 栏 中 选择 “DHCP”， 然后 单 击 
对 话 框 右 下 角 的 “应 用 ”按钮 ， 如 图 12-2 所 示 。 





| ” | 、 i ee WT 





PC-1 


54-89-98-CF-40-OE 


人 几 DHCP 


DNS1: 


DNS2: 


图 12-2 PC-1 配置 界面 
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单 击 PC-1 的 “命令 行 ” 选 项 卡 ， 在 其 中 输入 “ipconfig” 命 令 查看 接口 的 卫 地 址 ， 
如 图 12-3 所 示 。 


Welcane to use BC Simulator! 


PC>ipconftig 


do es 是 
人 : 54-89-98~CF-40-0E 
DNS BOVE ore ie vse, a 


Pe> 





了 


12-3 ”查看 PC-1 的 耳 地 址 


通过 观察 发 现 PC-1 已 经 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.1.253， 网 
关 地 址 为 路 由 器 的 接口 地 址 192.168.1.254。 
在 Rl1 上 使 用 display ip pool 命令 查看 DHCP 地 址 池 中 的 地 址 分 配 情况 。 





以 上 信息 显示 目前 为 基于 接口 的 地 址 池 ， 由 于 有 两 个 接口 启用 DHCP 功能 ， 所 以 地 址 
池 也 有 两 个 ，Pool-name 分 别 为 GE 0/0/0、GE 0/0/1。 在 DHCP Server 地 址 池 中 ， 网 关 为 
192.168.1.254， 掩 码 为 255.255.255.0，IP 地 址 池 总 共 可 以 分 配 506 个 地 址 (除了 路 由 器 接口 
地 址 )， 已 经 使 用 了 一 个 ， 空 闲 地 址 为 495 个 ， 其 中 地 址 池 中 有 10 个 地 址 是 不 参与 分 配 的 。 
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配置 PC-2 时 参考 配置 PC-1 的 方法 ， 选 择 通过 DHCP 配置 地 址 。 
单 击 PC-2 中 的 “命令 行 ” 选 项 卡 , 在 其 中 输入 “ipconfig” 命 令 查 看 接口 的 人 P 地 址 ， 
如 图 12-4 所 示 。 


PP pp , 、 E rep Wn ~ RN 





| PC>ipconfig 


Link local IPV6 address...........} 

1 IPY6 ddroBB os... 5 

| 必 

ED a ti en 

1 Subnet mesks -oo 

| 人 

ois Te" 0-CP"C5-48 

DNS Sezyek. sr sss -8.8B.8 


BC> 





图 12-4 查看 PC-2 的 全 地 址 
通过 观察 发 现 PC-2 已 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.2.253， 网 关 


地 址 为 路 由 器 的 接口 地 址 192.168.2.254，DNS 服务 器 地 址 为 8.8.8.8。DHCP 地 址 池 中 的 
地 址 分 配 情 况 此 处 省 略 。 


思考 


DHCP Server 从 地 址 池 分 配 IP 的 顺序 如 何 ， 是 按 顺序 还 是 随机 的 ? DHCP Server 如 
何 防范 地 址 冲突 的 问题 ? 


12.2 配置 基于 全 局 地 址 池 的 DHCP 


原理 概述 


基于 接口 地 址 池 的 DHCP 服务 器 ， 连 接 这 个 接口 网 段 的 用 户 都 从 该 接口 地 址 池 中 获 
取 耳 地 址 等 配置 信息 ， 由 于 地 址 池 绑 定 在 特定 的 接口 上 ， 可 以 限制 用 户 的 使 用 条 件 ， 因 
此 在 保障 了 安全 性 的 同时 也 存在 一 定局 限 性 。 当 用 户 从 不 同 接口 接 入 DHCP 服务 器 且 需 
要 从 同一 个 地 址 池 里 获取 IP 地 址 时 ， 就 需要 配置 基于 全 局 地 址 池 的 DHCP。 

配置 基于 全 局 地 址 池 的 DHCP 服务 器 ， 从 所 有 接口 上 连接 的 用 户 都 可 以 选择 该 地 址 
池 中 的 地 址 ， 也 就 是 说 全 局 地 址 池 是 一 个 公共 地 址 池 。 在 DHCP 服务 器 上 创建 地 址 池 并 
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配置 相关 属性 (包括 地 址 范围 、 地 址 租 期 、 不 参与 自动 分 配 的 卫 地 址 等 )， 再 配置 接口 
工作 在 全 局 地 址 池 模 式 。 路 由 器 支持 工作 在 全 局 地 址 池 模 式 的 接口 有 三 层 接口 及 其 子 接 
口 、 三 层 Ethernet 接口 及 其 子 接口 、 三 层 Eth-Trunk 接口 及 其 子 接口 和 VLANIF 接口 。 


实验 目的 


。 掌握 DHCP Server 配置 方法 

。 掌握 基于 全 局 地 址 池 的 DHCP Server 配置 方法 

。 掌握 配置 DHCP 租 期 /网 关 地 址 /不 参与 自动 分 配 地 址 方法 
。 掌握 配置 和 检测 DHCP 客户 端的 方法 


场景 


本 实验 将 路 由 器 R1 模拟 成 公司 DHCP Server,， 配置 全 局 地 址 池 , 该 公司 市 场 部 和 财 
务 部 下 的 PC 通过 DHCP 的 方式 自动 配置 卫 地 址 。 









实验 拓扑 
配置 基于 全 局 地 址 池 的 DHCP 拓扑 如 图 12-5 所 示 。 
EGR 
GE 0/0/0 : GE 0/0/1 
Ethernet 0/0/1 Ethernet 0/0/1 
sl [el S2 
Ethernet 0/0/2 Ethernet 0/0/2 
Ethernet 0/0/1 Ethernet 0/0/1 
PC-1 PC-2 
市 场 部 192168024 [大 交 部 55168500 
图 12-5 配置 基于 全 局 地 址 池 的 DHCP 拓扑 
实验 编 址 
实验 编 址 见 表 12-2。 


表 12-2 实验 顽 址 










R1 (AR2220) 








PC-1 







360 HCNA 网 络 技术 实验 指南 


实验 步骤 


1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 IP 地址 配置 ,由 于 PC 是 通过 DHCP 自动 获取 地 址 ， 
暂时 无 法 测试 连通 性 。 交 换 机 为 二 层 设备 ， 无 需 配 置 IP 地 址 。 

BRljinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0Jip address 192.168.1.254 24 

[R1-GigabitEthernet0/0/0Jinterface GigabitEthernet 0/0/1 

[RI-GigabitEthernet0/0/1]ip address 192.168.2.254 24 

2. 配置 基于 全 局 地 址 池 的 DHCP Server 


在 Rl 上 开启 DHCP 功能 。 


[R1Jdhcp enable 

使 用 ip pool 命令 创建 一 个 全 局 地 址 池 ， 地 址 池 名 称 为 huaweil。 默 认 情 况 下 ， 设 备 
上 没有 创建 任何 全 局 地 址 池 。 

[Rl]jip pool huaweil 


使 用 network 命令 配置 全 局 地 址 池 huaweil 可 动态 分 配 的 网 段 范围 为 192.168.1.0， 
如 果 不 指定 掩 码 , 则 默认 使 用 自然 掩 码 , 即 24 位 掩 码 ,该 网 段 必 须 与 路 由 器 接口 GE 0/0/0 
的 他 地 址 为 同一 网 段 。 

[R1-ip-pool-huaweil Inetwork 192.168.1.0 

使 用 lease day 命令 配置 DHCP 全 局 地 址 池 下 的 地 址 租 期 。 默认 情况 下 ， 卫 地 址 租 
期 为 1 天 ， 对 于 不 同 的 地 址 池 ，DHCP 服务 器 可 以 指定 不 同 的 地 址 租用 期 限 ， 但 是 同一 
地 址 池 中 的 地 址 具有 相同 的 租 期 。 

[R1-ip-pool-huaweilllease day 2 

配置 DHCP 客户 端的 出 口 网 关 地 址 。 

[R1-ip-pool-huawei]gateway-jist 192.168.1.254 

配置 地 址 池 中 192.168.1.250 到 192.168.1.253 这 些 地 址 不 参与 自动 分 配 。 

[R1-ip-pool-huaweil]excluded-ip-address 192.168.1.250 192.168.1.253 

由 于 地 址 192.168.1.250 到 192.168.1.253 不 参与 自动 分 配 , 而 网 关 地 址 也 不 参与 自动 
分 配 ， 因 此 DHCP 服务 器 将 会 从 地 址 池 中 由 192.168.1.249 开始 往 前 分 配 。 

配置 DNS 服务 器 地 址 。 

[R1-ip-pool-huaweil]dns-list 8.8.8.8 

开启 接口 的 DHCP 功能 。 使 用 该 命令 配置 设备 指定 接口 采用 全 局 地 址 池 为 客户 端 分 
配 卫 地 址 。 

[R1]Jinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]dhep select global 

路 由 器 需要 为 两 个 不 同 部 门 分 配 IP 地 址 ， 即 需要 两 个 全 局 地 址 池 。 为 财务 部 配置 
的 全 局 地 址 池 名 称 为 huawei2, IP 网 段 为 192.168.2.0， 网 关 地 址 为 192.168.2.254, DNS 
服务 器 地 址 为 8.8.8.8。 配 置 完成 后 在 GE 0/0/1 接口 下 启用 全 局 地 址 池 的 DHCP 服务 器 
模式 。 

[R1]jip poolhuawei2 

[R1-ip-pool-huawei2]network 192.168.2.0 

[RI-ip-pool-huawei2]lease day 2 

[R1-ip-pool-huawei2]gateway-list 192.168.2.254 

[R1-ip-pool-huawei2]dns-list 8.8.8.8 
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配置 完成 后 ， 查 看 地 址 池 信息 。 | | 






以 上 信息 显示 有 两 个 地 址 池 ， 其 中 一 个 地 址 池 为 huaweil， 另 一 个 地 址 池 为 
huawei2， 地 址 池 的 总 数 为 506 个 ， 使 用 了 0 个， 空闲 502 个 ， 有 4 个 地 址 不 参与 
分 配 。 

3. 配置 DHCP Client 
打开 PC-1 的 “基础 配置 ”选项 卡 ， 在 “IPV4 配置 ” 栏 中 选择 “DHCP”， 然后 单 击 
对 话 框 右 下 角 的 “应 用 ”按钮 ， 如 图 12-6 所 示 。 








图 12-6 PC-1 配置 界面 
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单 击 PC-1 的 “命令 行 ”选项 卡 ， 在 其 中 输入 “ipconfig” 命 令 查 看 接口 的 IP 地 址 ， 
如 图 12-7 所 示 。 


PE 


we 


a 


a 


rr 





| 33333333333 


12-7 查看 PC-1 的 卫 地址 


通过 观察 发 现 PC-1 已 经 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.1.249， 网 
关 地 址 为 192.168.1.254，DNS 服务 器 地 址 为 8.8.8.8。 
验证 路 由 器 与 PC 之 间 的 连通 性 。 






可 以 正常 通信 。 
打开 PC-2 的 “基础 配置 ”选项 卡 ， 在 “IPv4 配置 ” 栏 中 选择 “DHCP”， 然 后 单 击 
对 话 框 右 下 角 的 “应 用 ”按钮 ， 如 图 12-8 所 示 。 
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图 128 PC2 配置 界 而 
单 击 PC-2 的 “命令 行 ”选项 卡 ， 输 入 “ipeonfig” 命 令 查看 接口 的 IP 地 址 ， 如 图 
12-9 所 示 。 














PC>ipconfig 


| Link local ITBv6 address : fe80::5689:98ff: fecf:c5d4e 


IPv6 address : ts / 128 
IPBV6 gateway $3: 

IPv4 address : 192.168.2.253 
Subnet mask ; 255.255.255.0 


PC> 








图 12-9 查看 PC-2 的 全 地 址 


通过 观察 发 现 PC-2 已经 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.2.253， 网 
关 地 址 为 192.168.2.254，DNS 服务 器 地 址 为 8.8.8.8。 
验证 路 由 器 与 PC 之 间 的 连通 性 。 
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[R1]ping 192.168.2.253 

PING 192.168.2.253: 56 ”data bytes, press CTRL_C to break 
Reply from 192.168.2.253: bytes=56 Sequence=] ttl=128 time=500 ms 
Reply from 192.168.2.253: bytes=56 Sequence=2 ttl=128 time=180 ms 
Reply 他 om 192.168.2.253: bytes=56 Sequence=3 ttl=128 time=130 ms 
Reply from 192.168.2.253: bytes=56 Sequence=4 ttl=128 time=90 ms 
Reply from 192.168.2.253: bytes=56 Sequence=5 ttl=128 time=110 ms 

-一 192.168.2.253 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss ] 
round-trip min/avg/max = 90/202/500 ms 


可 以 正常 通信 。 
思考 


请 问 DHCP 服务 器 在 分 配 地 址 时 是 从 该 网 段 中 最 小 的 地 址 进行 分 配 还 是 最 大 的 地 址 
进行 分 配 ? 这 样 有 什么 好 处 ? 


12.3 配置 DHCP 中 继 


原理 概述 


由 于 在 IP 地 址 动态 获取 的 过 程 中 , 客户 端 采用 广播 方式 发 送 请 求 报 文 ,而 广播 报 文 
不 能 跨 网 段 传 送 , 因此 DHCP 只 适用 于 DHCP 客户 端 和 服务 器 处 于 同一 个 网 段 内 的 情况 。 
当 多 个 网 段 都 需要 进行 动态 卫 地 址 分 配 时 ， 就 需要 在 所 有 网 段 上 都 设置 一 个 DHCP 服 
务 器 ， 这 显然 是 不 易 管理 和 维护 的 。 

DHCP 中 继 可 以 使 客户 端 通过 它 与 其 他 网 段 的 DHCP 服务 器 通信 ,最 终 获 取 卫 地 址 ， 
解决 了 DHCP 客户 端 不 能 器 网 段 向 服务 器 动态 获取 卫 地 址 的 问题 。 这 样 ， 在 多 个 不 同 
网 络 上 的 DHCP 客户 端 可 以 使 用 同一 个 DHCP 服务 器 ， 既 节省 了 成 本 ， 又 便于 进行 集中 
管理 和 维护 。 路 由 器 或 三 层 交 换 机 都 可 以 充当 DHCP 中 继 设备 。 


实验 目的 
。 理解 DHCP 中 继 的 应 用 场景 
。 掌握 DHCP 中 继 的 配置 
实验 内 容 


本 实验 模拟 企业 网 络 场景 。 某 公司 分 部 的 网 络 由 交换 机 S1 和 网 关 路 由 器 Rl 组成， 
员工 终端 PC-1 和 PC-2 都 连接 在 S1 上 。 公 司 要 求 分 部 内 所 有 员工 主机 的 卫 地 址 都 通过 
总 部 的 DHCP 服务 器 自动 获取 。 分 部 网 关 路 由 器 R1 通过 公 网 路 由 器 R2 访问 公司 总 部 的 
DHCP 服务 器 R3。 由 于 公司 分 部 与 总 部 不 在 同一 个 子 网 , 需要 在 R1 上 配置 DHCP 中 继 ， 
使 分 部 内 主机 能 跨 网 段 从 总 部 的 DHCP 服务 器 自动 获取 卫 地 址 。 
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实验 拓扑 
配置 DHCP 中 继 的 拓扑 如 图 12-10 所 示 。 








Ethernet 0/0/1 






ES 20001 0 01604 
Ethernet 0/0/1 FS GE 0/0/0 本 可 GE 0/0/1 ee 
Ethernet 1/0/1 民 GE 0/0/0 GE 0/0/1 民 
i R2 Ra 


图 12-10 配置 DHCP 中 继 拓扑 


实验 编 址 


实验 编 址 见 表 12-3 。 
表 12-3 




















， 子 网 撞 码 
Ethernet 1/0/1 10,1.1:254 


由 














R1 (AR1220) 







255.255.255.0 
GE 0/0/0 200.1.1.1 255:255,255.0 


GE 0/0/0 200.1.1.2 255.255:233.0 








R2 (AR1220) 







GE 0/0/1 100.1.1.2 255.255:255.0 
GE 0/0/1 100.1.1.1 255.255.255.,0 


R3 (AR1220) 


实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 


<R1>ping 200.1.1.2 

PING 200.1.1.2: 56 data bytes, press CTRL_C to break 
Reply from 200.1.1.2: bytes=56 Sequence=1 ttl=255 time=40 ms 
Reply from 200.1.1.2: bytes=56 Sequence=2 ttl=255 time=30 ms 
Reply from 200.1.1.2: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 200.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 200.1.1.2: bytes=56 Sequence=5 ttl=255 time=50 ms 

-一 200.1.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
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0.00% packet loss 
round-trip min/avg/max = 20/38/50 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
在 公司 路 由 器 R1、R2、R3 上 都 配置 运行 OSPF 协议 ， 所 有 网 段 都 发 布 到 区 域 0 中 。 


[RlJospf 1 
[R1-ospf-l]area 0 

[R1-ospf-1-area-0.0.0.0Jnetwork 200.1.1.0 0.0.0.255 
[Rl1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 


[R2]ospfl 

[R2-0spf-1]area 0 

[R2-ospf-1-area-0.0.0.0]network 200.1,1.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0Jnetwork 100.1.1.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-l]area 0 

[R3-0ospf-1-area-0.0.0.0Jnetwork 100.1.1.0 0.0.0.255 
配置 完成 后 ， 碍 看 路 由 表 信息 。 
<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations ; 7 Routes :7 
Destination/Mask Proto Pre Qost Flags NextHop Interface 
10.1.1.0/24 | Direct 0 和 D 10.1.1.254 Ethermetl/0/1 
10.1.1.254/32 Direct 0 中 25.001 Ethernet1/0/1 
100,1.1.0/24 OSPF TO NO 有 旧 200W2 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D127.00,1 InLoopBack0 
127.0.0.1/32 Direct 0 0 Dr 12Nn00+ InLoopBack0 
200.1,1.0/24 Direct 0 0 有 ON GigabitEthernet0/0/0 
200.1.1.1/32 Direct 0 0 D UL2X00T GigabitEthernet0/0/0 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 7 Routes :7 
Destination/Mask Proto Pre (COM Flags NextHop Interface 
10.1.1.0/24 OSPF On Br 200 GigabitEthemet0/0/0 
100.1.1.0/24 Direct 0 0 D100.1.1.2 GigabitEthernet0/0/1 
O01 12/32 Direct 0 0 Dr 127001 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D127.0,0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
50 TDRAU 0 2000 GigabitEthernet0/0/1 
200.1.1.2/32 Direct 0 0 下 22760441 GigabitEthernet0/0/0 
<R3>display ip routing-table 


Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
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10,1.1.0/24 ‘OSPR 0 可 wot AG GigabitEthernet0/0/1 
100,1.1.0/24 Direct 0 DEL GigabitEthemet0/0/1 
100.1.1.1/32 Direct Ql.0 BD, 127.0.0.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 了 了， 127004 InLoopBack0 
127.0.0.1/32 Direct 0 0 DiNItb27.00U InLoopBack0 
200.1.1.0/24 OSPF Om DA dae Be GigabitEthernet0/0/1 


可 以 观察 到 ， 目 前 每 台 设 备 都 可 以 正常 获得 路 由 信息 ， 连 通 性 测试 省 略 。 

3. 配置 DHCP 服务 器 

总 部 路 由 器 R3 配置 为 DHCP 服务 器 ， 负 责 为 分 部 的 网 络 分 配 IP 地 址 。 在 R3 上 使 
用 dhcp enable 命令 开启 DHCP 功能 , 创建 全 局 地 址 池 dhcp-pool, 可 分 配 IP 地 址 范围 为 
10.1.1.0/24， 出 口 网 关 地 址 为 10.1.1.254。 并 在 面向 DHCP 中 继 设 备 的 接口 上 开启 DHCP 
服务 功能 ， 指 定 从 全 局 地 址 池 分 配 地 址 。 

[R3]dhcp enable 

Info: The operation may take a few seconds. Please wait for a moment.done. 

[R3]ip pool dhcp-pool 

Info:It's successful to create an IP address pool. 

[R3-ip-pool-dhcp-pooljnetwork 10.1.1.0 mask 255.255.255.0 

[R3-ip-pool-dhcp-pool]gateway-list 10.1.1.254 

[R3-ip-pool-dhcp-pool]interface GigabitEthernet0/0/1 

[R3-GigabitEthernet0/0/1]dhep select global 


配置 完成 后 ， 使 用 display ip pool 命令 查看 IP 地 址 池 的 配置 情况 。 


[R3]display ip pool 

Pool-name : dhcp-pool 

Pool-No :0 

Position : Local Status : Unlocked 
Gateway-0 NO.254 

Mask 352550 

VPN instance  :-- 

IP address Statistic 

Total ;253 

Used :0 Idle 凤 53 

Expired :0 Conflict :0 Disable :0 


可 以 观察 到 ， 当 前 可 用 的 地 址 除去 网 关 IP 以 外 还 剩 下 253 个 可 用 ， 目 前 还 没有 PC 
动态 申请 卫 地 址 。 

4. 配置 DHCP 中 继 

下 面 配置 R1 为 DHCP 中 继 设备 ， 指 定 DHCP 服务 器 为 R3。 这 时 如 果 Rl1 从 E 0/0/1 
接口 收 到 PC 的 DHCP 广播 请 求 包 , R1 作为 DHCP 中 继 设备 会 以 单 播 形式 转发 请 求 包 到 
中 继 所 指明 的 DHCP 服务 器 R3; R3 收 到 DHCP 请 求 包 后 ， 会 把 分 配 的 卫 地 址 通过 单 
播 包 返回 给 R1; RI1 再 把 地 址 信息 发 送 给 PC。 

配置 指定 DHCP 服务 器 有 两 种 方式 ,一 种 方式 是 在 面向 PC 的 接口 下 直接 配置 DHCP 
服务 器 卫 地 址 ， 另 一 种 方式 是 在 面向 PC 的 接口 下 调用 全 局 定义 的 DHCP 服务 器 组 。 

(1) 第 一 种 配置 方法 : 直接 在 R1 的 EE 0/0/1 接口 下 开启 DHCP 中 继 功 能 ， 并 直接 指 
定 DHCP 服务 器 卫 地 址 为 100.1.1.1。 

[Rl]dhcp enable 


[Rllinterface Ethernet1/0/1 
[R1-Ethernet1/0/1]dhep select relay 
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[RI-Bthernetl/O/1]dhcp relay serverip 100.1.11 

(2) 第 二 种 配置 方法 : 在 R1 上 创建 DHCP 服务 器 组 ， 指 定 组 名 为 dhcp-group， 并 
使 用 dhep-server 命令 添加 远 端的 DHCP 服务 器 地 址 。 接 着 在 E 1/0/1 接口 下 开启 DHCP 
中 继 功 能 并 配置 所 对 应 的 DHCP 服务 器 组 。 


‘ [Rl]dhep server group dhep-group " 
Info:It's successful to create a DHCP server en 
[Rl-dhep-server-group-dhep-group]dhcp- ‘server 100,1.1.1 
| [Rl-dhcp-server-group-dhep-grouplinterface 让 1/0/1 
‘[R1-Ethernetl/0/1]dhep Select may 
[R1-Ethernetl/0/1]dhcp relay ‘server-select dhcp- 


两 种 方式 均 能 达到 同样 的 配置 要 求 ， 相 比 而 言 ， 在 接口 下 直接 指定 DHCP 服务 器 了 
地 址 的 方式 较 简 单 。 但 如 果 中 继 设 备 上 有 多 个 接口 需要 配置 DHCP 中 继 功 能 ， 则 要 在 所 
有 接口 上 重复 同样 的 配置 ， 产 生 的 配置 量 较 大 。 这 种 情况 就 应 该 使 用 服务 器 组 的 方式 ， 
仅 在 全 局 定义 一 次 ， 在 每 个 接口 重复 调用 即 可 ， 当 有 多 个 DHCP 服务 器 或 者 服务 器 IP 
地 址 需要 更 改 时 尤为 方便 。 

5. 配置 PC 获取 地 址 方式 为 DHCP 

当 DHCP 中 继 设备 R1 和 DHCP 服务 器 R3 配置 完成 后 ， 且 中 间 链 路 的 连通 性 也 正 
常 的 情况 下 ,配置 PC 机 使 用 DHCP 获取 人 P 地 址 ， 如 图 12-11 所 示 。PC-2 也 使 用 同样 的 
方式 配置 使 用 DHCP。 




















图 12-11 PC-1 配置 界面 


配置 完成 后 ， 在 PC-1 的 “命令 行 ” 选 项 卡 中 使 用 “ipconfig” 命 令 查 看 地 址 获得 的 
情况 ， 如 图 12-12 所 示 。 
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Welcome to use BC Simulator! 


PC>ipconfig 


Link local IPv6 address. .1: 
IPv6 address.... 

TBVv6 gateway..... 

IPv4 address..... 


Gateway......... 
Physical address. 
DNS se@rVere 


BC> 


图 12-12 





fe80::5689: 98ff: fecf:8367 
ss / 128 

10 . 工 . 工 ,253 

255.255.255.0 

10.1.1.254 
54-89-98-CF-83-67 


查看 PC-1 的 卫 地 址 
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同样 在 PC-2 的 “命令 行 ” 选 项 卡 中 使 用 “ipconfig” 命 令 查 看 地 址 获得 的 情况 ， 如 


图 12-13 所 示 。 












En 
Welcome to use PC Simulator! 


PC>ipconfig 


Link local IPV6 address...........: 
IPYVE dr08Bas 0 sa soos 
IPBPV6 gateway.,....... 
IPv4 address......... 
Subnet mask,.,........, 
Gateways ss 
Physical address........... uu 
DNS server......... 


EE 于 区 区 










CE 


EE 


BC> 






: 10.1,.1.254 







fe80::5689: 98ff: fecf: 4c53 
ss/ 1298 

£5 

10.1.1.252 

255.255.255.0 








54-89-98~CP-4C-53 
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测试 成 功 。PC 通过 DHCP 中 继 设 备 成 功 从 DHCP 服务 器 获得 IP 地 址 ， 并 能 使 用 该 
地 址 相互 通信 。 

整个 配置 过 程 ， 仅 在 网 关 路 由 器 R1 上 开启 DHCP 中 继 功 能 ， 在 分 部 没有 其 他 过 多 
的 DHCP 配置 。 由 此 可 见 ， 在 网 络 设计 和 管理 中 灵活 使 用 DHCP 中 继 功 能 能 够 使 网 络 运 
行 更 加 高 效 和 方便 。 


思考 


在 Rl 充当 DHCP 中 继 代 理 时 ， 客 户 的 DHCP 请 求 包 经 DHCP 中 继 R1 到 达 DHCP 
服务 器 R3 后 ， 如 果 R3 上 定义 有 不 同 网 段 的 多 个 IP 地 址 池 ，R3 如 何 知道 该 从 哪个 地 址 
池 分 配 地 址 给 PC-1 和 PC-2? 








第 13 便 
IPv6 


13.1 1IPv6 基 础 配置 
13.2 ” RIPng 基础 配置 





13.3 ”OSPFv3 基 础 配置 


mal 
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13.1 1IPv6 基础 配置 


原理 概述 


以 IPv4 为 核心 技术 的 Internet 获得 巨大 成 功 ， 促 使 下 技术 得 到 广泛 应 用 。 然 而 ， 随 
着 Internet 的 迅猛 发 展 ，IPv4 技术 的 不 足 也 日 益 凸 显 ， 特 别 是 地 址 空间 的 不 足 直接 限制 
了 IP 技术 应 用 的 进一步 发 展 。 

IPv6 (JInternet Protocol Version 6) 是 网 络 层 协议 的 第 二 代 标 准 协 议 ， 也 被 称 为 IPng 
(IP next generation， 下 一 代 卫 协议 )。 它 是 IETF 设计 的 一 套 规 范 。IPv6 和 IPv4 之 间 最 
显著 的 区 别 就 是 IP 地 址 长 度 从 原来 的 32 bit 变 为 128 bit， 地 址 空间 大 得 惊人 ， 有 一 种 夸 
张 的 说 法 是 : 地 球 上 的 每 一 粒 沙 子 都 可 以 拥有 一 个 IPv6 地 址 。IPv6 以 其 简化 的 报 文 头 
格式 、 充 足 的 地 址 空间 、 层 次 化 的 地 址 结构 、 灵 活 的 扩展 头 、 增 强 的 邻居 发 现 机 制 将 在 
未 来 的 市 场 竞 争 中 充满 活力 。 

128 bit 的 IPv6 地 址 被 分 为 8 组 ， 每 组 的 16 bit 用 4 个 十 六 进 制 字符 (0~9，A~F) 
来 表示 ， 组 和 组 之 间 用 冒号 隔 开 。 比 如 2031:0000:130F:0000:0000:09C0:876A:130B， 为 
了 书写 方便 , 每 组 中 的 前 导 “0” 都 可 以 省 略 。 地址 中 包含 的 连续 两 个 或 多 个 均 为 0 的 组 ， 
可 以 用 双 冒 号 “::” 来 代替 ， 这 样 可 以 压缩 IPv6 地 址 书写 时 的 长 度 。 但 是 在 一 个 IPv6 地 
址 中 只 能 使 用 一 次 双 冒 号 “::”， 和 否则 当 计 算 机 将 压缩 后 的 地 址 恢复 成 128 bit 时 ， 无 法 确 
定 每 段 中 0 的 个 数 。 所 以 ， 上 述 地 址 可 以 简写 为 2031:0:130F::9C0:876A:130B。 

一 个 IPv6 地 址 可 以 分 为 两 部 分 ， 比 如 2001:A304:6101:1:0000:E0:F726:4E58 /64， 
前 64 bit 是 网 络 前 缀 ,相当 于 IPv4 地 址 中 的 网 络 ID, 后 64 bit 相当 于 IPv4 地 址 中 的 主 
机 ID。 


实验 目的 


e 理解 IPv6 的 地 址 格式 

。 掌握 IPv6 手工 配置 卫 地 址 的 方法 

e 掌握 EUI-64 方式 配置 IPv6 地 址 的 方法 

。 掌握 IPv6 静态 路 由 和 默认 路 由 的 配置 方法 
实验 内 容 


某 公 司 在 新 建 网 络 时 部 署 IPv6，R1 和 R2 分 别 为 IT 部 门 和 人 事 部 门路 由 器 ， 两 个 
部 门 通过 交换 机 S1 相连 。IT 部 门 的 员工 终端 PC-1 手工 配置 IPv6 地 址 ， 并 在 R1 与 R2 
上 配置 IPv6 静态 路 由 ， 使 两 个 部 门 的 终端 能 够 互相 通信 。 


实验 拓扑 
IPv6 基础 配置 的 拓扑 如 图 13-1 所 示 。 
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GE 0/0/1 3 Ethernet 0/0/2 [| 
— 
RI1 ee R2 
l ~ 
Ethernet 0/0/1 a GE 0/0/1 


Sl 


GE 0/0/0 nel ET GE 0/0/0 


Ethernet 0/0/1 Ethernet 0/0/1 





PC-1 PC-2 


图 13-1 ”IPvV6 基础 配置 拓扑 


实验 编 址 


实验 编 址 见 表 13-1。 
表 13-1 实验 编 址 


RI CARI220) | CBO | 200LatDsG4eurb | 64 | 

| GE0/0/0 | 2002:3:DE::/64eui-64 | 6 | 
人 Gao | antoam2 | 6 
| Ethemet0/0/1 | 2001:3:FD:2 | 6 
| Ethemet0/0/1 | 20023:DE:2 | 6 | 












R2 (AR1220) 


4 
64 





实验 步骤 


1. 配置 IPv6 单 播 地 址 

根据 实验 编 址 表 在 PC 上 配置 相应 的 IPv6 地 址 。 模 拟 器 中 的 PC 上 已 经 默认 开启 了 
IPv6 功能 ， 即 已 经 自动 生成 了 链 路 本 地 地 址 。 

在 路 由 器 系统 视图 模式 下 全 局 开启 IPv6 功能 。 


<R1>system-view 

[Ri]ipv6 

在 Rl 上 的 GE 0/0/0 接口 下 使 用 ipv6 enable 命令 开启 IPv6 功能 。 
[Rl]interface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]ipv6 enable 

在 Rl 的 GE 0/0/0 接 口上 配置 自动 生成 的 链 路 本 地 地 址 。 
[R1linterface GigabitEthemet 0/0/0 

[R1-GigabitEthernet0/0/0Jipv6 address auto link-local 


配置 完成 后 ， 在 R1 上 查看 GE 0/0/0 接口 所 配置 的 自动 生成 的 链 路 本 地 地 址 。 
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[Rl]display ipv6 interface 

GigabitEthernet0/0/0 current state : UP 

IPv6 protocol current state : UP 

IPv6 is enabled, link-local address is FE80;:2EQ:FCFF:FE03:19AB 
No global unicast address configured 


可 以 观察 到 当前 GE 0/0/0 接口 下 的 链 路 本 地 地 址 为 FE80::2E0:FCFF:FE03:19AB。 

在 PC-1 上 测试 与 Rl 链 路 本 地 地 址 间 的 连通 性 。 

PC>ping FE80::2E0:FCFF:FE03:19AB 

Ping fe80::2e0:feff:fe03:19ab: 32 data bytes, Press Ctrl_C to break 

From fe80::2e0:fcff:fe03:19ab: bytes=32 seg=1 hop limit=64 time=141 ms 

From fe80::2e0:fcff:fe03:19ab: bytes=32 seq=2 hop limit=64 time=47 ms 一 

From fe80::2e0:fcff:fe03:19ab: bytes=32 seq=3 hop limit=64 time=47 ms 

From fe80::2e0:fcff:fe03:19ab: bytes=32 seg=4 hop limit=64 time=31 ms 

From fe80::2e0:fc 人 fr:fe03:19ab: bytes=32 seq=5 hop limit=64 time=16 ms 

一 fe80::2e0:feff:fe03:19ab ping statistics -一 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 16/56/141 ms 

通信 正常 。 同 理 配 置 R2 的 GE 0/0/0 接口 。 

[R2Jipvé6 

[R2Jinterface GigabitEthernet 0/0/0 

[R2-GigabitEthernet0/0/0]ipy6 enable 

[R2-GigabitEthernet0/0/0]ipv6 address auto link-local 

配置 完成 后 ， 测 试 PC-2 与 R2 之 间 的 连通 性 。 

PC>ping FE80::2E0:FCFF:FE03:3B30 

Ping fe80::2e0:fcff:fe03:3b30: 32 data bytes, Press Ctrl_C to break 

From fe80::2e0:fceff:fe03:3b30: bytes=32 seq=] hop limit=64 time=109 ms 

From fe80::2e0:fcff:fe03:3b30: bytes=32 seq=2 hop limit=64 time=16 ms 

From fe80::2e0:feff:fe03:3b30: bytes=32 seq=3 hop limit=64 time<] ms 

From fe80::2e0:fcff:fe03:3b30: bytes=32 seq=4 hop limit=64 time<] ms 

From fe80::2e0:fcff:fe03:3b30; bytes=32 seq=5 hop limit=64 time=16 ms 

--- fe80::2e0:feff:fe03:3b30 ping Statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/28/109 ms 

可 以 观察 到 ， 通 信 正 常 。 

在 Rl 和 R2 的 GE 0/0/1 接口 上 手工 静态 配置 全 球 单 播 地 址 。 在 配置 IPv4 地 址 时 ， 
新 地 址 会 替换 老 地 址 ; 而 在 配置 IPv6 地 址 时 ， 新 地 址 会 被 添加 ， 老 地 址 不 受 影响 。 使 用 
ipv6 address 命令 可 以 为 接口 直接 添加 IPv6 地 址 ，2031:0:130F::1 为 需要 配置 的 IPv6 地 
址 ，64 为 此 地 址 的 前 缀 长 度 。 

[Ri]interface GigabitEthernet 0/0/1 一 一 

[R1-GigabitEthernet0/0/] Jipv6 enable 

[R1-GigabitEthermet0/0/1]ipv6 address 2031:0:130F::1 64 


[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]ipv6 enable 
[R2-GigabitEthernet0/0/1]ipv6 address 2031:0:130F::2 64 
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配置 完成 后 在 Rl1 和 R2 上 查看 所 配置 的 全 局 地 址 。 


可 以 观察 到 ，IPv6 全 球 单 播 地 址 的 配置 已 经 生效 。 
测试 R1 与 R2 的 全 球 单 播 地 址 间 的 连通 性 , 同时 请 注意 区 分 全 球 单 播 地 址 和 链 路 本 
地 地 址 。 


可 以 观察 到 ， 通 信 正 常 。 
2. 用 EUI- 64 方式 配置 IPv6 地 址 
在 Ri 的 GE 0/0/0 接口 使 用 ipv6 address 命令 配置 EUI-64 地 址 。 


配置 完成 后 ， 查 看 配置 结果 。 
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以 现 守 到 ， ,RI nr 0/0/0 pp 已 经 生成 了 有 效 的 EUL64 地 址 。 


继续 在 R2 上 的 GE 0/0/0 接口 使 用 ipv6 address eui-64 命令 配置 EUI-64 地 址 。 





配置 完成 后 ， 查 看 配置 结果 。 





地 址 生成 后 ， 在 PC-1 上 配置 R1 的 GE 0/0/0 接口 地 址 为 网 关 地 址 ， 在 PC-2 上 配置 
R2 的 GE 0/0/0 接口 地 址 为 网 关 地 址 。 

3. 配置 IPv6 静态 路 由 和 默认 路 由 

在 Rl1 上 使 用 ipv6 route-static 命令 配置 IPv6 静态 路 由 , 目的 网 段 为 PC-2 所 在 的 IPv6 
网 段 ， 下 一 跳 为 R2 的 GE 0/0/1 接口 的 IPv6 全 球 单 播 地 址 。 





在 R2 上 配置 IPv6 默认 路 由 ， 下 一 跳 为 Rl1 的 GE 0/0/1 接口 的 IPv6 全 球 单 播 
地 址 。 





配置 完成 后 在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 
PC1、PC2 分 别 配置 默认 网 关 地 址 为 R1 g0/0/0 接口 地 址 2001:3:FD:0:2E0:FCFF:FE03: 
19ABF 与 R2 g0/0/0 接口 地 址 2001:3:DE:0:2E0:FCFF:FE03:3B30 





可 以 观察 到 ， 通 信 正 常 。 
于 路 由 器 接口 在 使 用 EUL64 方式 生成 链 路 本 地 地 址 、 全 球 可 汇聚 单 播 地 址 时 ， 


与 接口 的 MAC 地 址 有 一 定 相关 性 ， 因 此 在 本 节 以 及 后 续 的 RIPng、OSPFv3 节 可 能 存在 
调试 信息 与 实际 实验 过 程 中 存在 一 定 差异 ， 请 读者 以 实际 实验 情况 为 准 。 
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思考 
如 果 路 由 器 的 某 一 接口 下 配置 了 多 个 IPv6 地 址 ， 互 相 之 间 是 否 会 产生 影响 ? 


13.2 ”RIPng 基础 配置 


原理 概述 


RIPng (RIP next generation， 下 一 代 RIP 协议 ) 是 IPv4 中 RIPv 2 协议 在 IPv6 网 络 
上 的 扩展 ， 多 数 RIPv2 的 原理 都 可 以 适用 于 RIPng。RIPng 协议 同样 是 基于 距离 矢量 算 
法 的 路 由 协议 ， 用 跳 数 来 衡量 到 达 目 的 主机 的 距离 〈 也 称 为 度量 值 或 开销 )。 在 RIPng 
协议 中 ， 当 跳 数 大 于 或 等 于 16 时 ， 目 的 网 络 或 主机 就 被 定义 为 不 可 达 。 

为 了 能 在 IPv6 网 络 中 应 用 ，RIPng 对 原 有 的 RIP 协议 进行 了 修改 。 

加 ”UDP 端口 号 : 使 用 UDP 的 521 端口 (RIP 使 用 520 端口 ) 发 送 和 接收 路 由 信息 ; 

国 组 播 地址 : 使 用 FF02::9 作为 链 路 本 地 范围 内 的 RIPng 路 由 器 组 播 地 址 ; 

国 目的 地 址 和 下 一 跳 地 址 :使 用 128 bit 的 IPv6 地 址 ， 并 使 用 前 缀 长 度 来 代替 子 网 
掩 码 。 

RIPng 协议 路 由 算法 和 RIPv2 一 样 ， 同 样 支持 水 平分 割 、 毒 性 逆转 和 触发 更 新 
功能 ， 用 来 防止 环 路 。 默 认 情 况 下 ， 启 用 水 平分 割 功能 和 触发 更 新 ， 不 启用 毒性 逆转 
功能 。 


实验 目的 


。 理解 RIPng 的 应 用 场景 
。 掌握 RIPng 的 配置 
e 理解 RIPng 配置 与 RIP 配置 的 区 别 


实验 内 容 


某 公 司 内 部 网 络 是 个 小 型 的 IPv6 网 络 , 公司 内 IT 部 门 通 过 路 由 器 R2 与 公司 出 口 网 
关 R1 相连， 人 事 部 门 通过 路 由 器 R3 与 网 关 R1 相连 。 由 于 公司 网 络 是 个 简单 的 网 络 ， 
本 实验 通过 配置 RIPng 协议 使 各 IPv6 网 络 互 通 。 


实验 拓扑 
RIPng 基础 配置 的 拓扑 如 图 13-2 所 示 。 


380 HCNA 网 络 技术 实验 指南 
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a 本 WN 2001::1/64 
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人 
SS 
民 RI1 





GE 0/0/1 







GE 0/0/1 





Ethernet 0/0/1 Ethernet 0/0/]1 er 
HR [J 三 GE 0/0/0 所 
Ethernet 0/0/2 
PC-2 S2 4 R3 
3002::1/64 
图 13-2” RIPng 基础 配置 拓扑 
实验 编 址 

实验 编 址 见 表 13-2。 


表 13-2 实验 编 址 
接口 ”| IPv6 地 址 
| GEooo | 20:1 | 6 | 
| GEool | ?oo | 6 | 
| GEool | 30%0:E | 6 | 
| GEoom | 20:2 | 6 | 
| 64 | 

| 64 | 

| 64 | 

| 4 | 






_ 子 网 接 码 












R1 (AR2220) 
R2 (AR2220) 


R3 (AR2220) 


GE 0/0/1 2002::2 
Ethernet 0/0/1 3001::1 


GE 0/0/0 3002::E 
Ethernet 0/0/1 3002::1 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 配 置 各 接口 的 IPv6 地 址 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
[Rllping ipv6 2002::2 
PING 2002::2: 56 data bytes; press CTRL C to break 
Reply from 2002::2 
bytes=56 Sequence=l hop limit=64 time = 140 ms 
Reply from 2002::2 
bytes=56 Sequence=2 hop limit=64 time = 50 ms 
Reply from 2002::2 
bytes=56 Sequence=3 hop limit=64 time= 70 ms 
Reply from 2002::2 
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bytes=56 Sequence=4 hop limit=64 time= 30 ms 


Reply from 2002;:2 


bytes=56 Sequence=5 hop limit=64 time = 20 ms 


-一 2002::2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-frip min/avg/max = 20/62/140 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 RIPng 


根据 图 13-2 在 R1、R2、R3 上 配置 RIPng 协议 ， 


[Rllripng 1 


[R2]ripng 1 


[R3Jripng 1 


创建 RIPng 路 由 进程 1。 


配置 完成 后 ， 在 路 由 器 各 相应 接口 下 配置 RIPng。 


[Rllinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]ripng 1 enable 


[R1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 


[R1-GigabitEthemet0/0/1]ripng 1 enable 


[R2]interface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]ripng 1 enable 


[R2-GigabitEthernet0/0/0Jinterface GigabitEthernet 0/0/1 


[R2-GigabitEthernet0/0/1]ripng 1 enable 


[R3jinterface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0]ripng 1 enable 


[R3-GigabitEtheret0/0/0jinterface GigabitEthernet 0/0/1 


[R3-GigabitEthernet0/0/1]ripng 1 enable 
3， 检 查 RIPng 的 路 由 表 


配置 完成 后 ， 查 看 每 台 路 由 器 RIPng 的 路 由 表 。 


[Rll]display ipv6 routing-table 
Routing Table : Public 
Destinations : 8 Routes: 10 


ETE 


Destination :3001:: 


NextHop :FE80::5689:98FF:FE76:832B 
Cost pa 
RelayNextHop : :: 


Interface : GigabitEthernet0/0/0 


Pree 


Destination :3002:: 


NextHop :FE80::5689:98FF:FE76:8224 
Cost A 
RelayNextHop : :: 


Interface : GigabitEthernet0/0/1 


PrefixLength : 64 
Preference 
Protocol 
TunnelID 
Flags 直路 
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可 以 观察 到 各 个 路 由 器 都 获取 了 相应 的 RIPng 路 由 信息 。 
在 路 由 器 RI、R2、R3 使 用 display ripng 1 route 命令 查看 RIPngl 的 路 由 信息 ， 同 
样 也 可 以 观察 到 每 台 路 由 器 上 获取 到 的 RIPng 路 由 信息 ， 以 R1 为 例 。 
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Dest 3002::/64， 
via FE80::5689:98FF:FE76:8224, cost 1, tag 0, RA, 15s 
Peer FE80::5689:98FF:FE76:8224 on GigabitEthernetO/0/1 
Dest 3002;:/64, 
Via FE80::5689:98FF:FE76:8224, cost 1,tag0,RA,13s 
在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 
PC>ping 3002::1 
Ping 3002::1: 32 data bytes, Press Ctrl C to break 
From 3002::1: bytes=32 seq=1 hop limit=64 time=172 ms 
From 3002::1: bytes=32 seq=2 hop limit=64 time=46 ms 
From 3002::1: bytes=32 seq=3 hop limit=64 time=93 ms 
From 3002::1: bytes=32 seq=4 hop limit=64 time=16 ms 
From 3002::1: bytes=32 seq=5 hop limit=64 time=16 ms 
--- 3002::1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 16/68/172 ms 


可 以 观察 到 通信 正常 ，RIPng 协议 已 经 使 全 网 互通 。 
思考 
RIPng 支持 认证 吗 ? 为 什么 ? 


13.3 ”OSPFv3 基础 配置 


原理 概述 


OSPF 针对 IPv4 协议 使 用 的 是 Version 2， 针 对 IPv6 协议 使 用 的 是 Version 3， 即 
OSPFv3。OSPFv3 在 OSPFv2 基础 上 进行 了 增强 ， 是 一 种 运行 在 IPv6 网 络 之 上 的 路 由 
协议 。 

OSPFv2 是 基于 IPv4 子 网 运行 的 , 同一 链 路 上 的 所 有 节点 同 处 于 一 个 IPv4 子 网 或 网 
络 内 ， 邻 居 关 系 建立 的 前 提 之 一 是 相连 接口 必须 处 于 同一 IPv4 子 网 内 , 每 一 条 路 由 的 下 
一 跳 地 址 都 是 和 路 由 器 接口 处 于 同一 网 段 的 IPv4 地 址 。OSPFv3 是 基于 链 路 运行 的 ， 同 
一 链 路 上 的 两 个 节点 不 必 具 有 相同 的 前 级 也 可 以 直接 通信 ， 这 一 点 极 大 地 改变 了 OSPF 
的 行为 ， 使 它 独立 于 网 络 协议 ， 容 易 扩展 适应 各 种 协议 。 

OSPFv3 的 RouterID、Area ID 仍然 保留 类 似 IPv4 地 址 长 度 的 32 bit 的 格式 。 实 际 
上 这 些 字 段 既 不 是 IPv4 地 址 ， 也 不 是 IPv6 地 址 ， 而 只 是 一 个 编号 。 

另外 在 OSPFv2 中 ,对 于 Broadcast 和 NBMA 网 络 类 型 ,邻居 路 由 器 是 以 IP 地址 作 
为 标识 的 。 而 在 OSPFv3 中 , 邻居 路 由 器 总 是 以 Router-ID 作为 标识 的 , 所 以 DR 和 BDR 
也 总 是 用 其 Router-ID 来 标识 的 。 

OSPFv3 不 再 直接 提供 验证 功能 ， 转 而 依赖 IPv6 所 提供 的 IP AH (Authentication 
Header) 和 IP ESP 〈Encapsulating Security Payload) 协议 进 行 验 证 ， 以 确保 路 由 信息 的 
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可 信 性 、 完 整 性 和 机 密 性 。 
实验 目的 


。 理解 O0SPFv3 的 应 用 场景 

。 掌握 OSPFv3 的 配置 

e 理解 OSPFv3 配置 与 OSPFv2 配置 的 区 别 

。 理解 O0SPFv3 基于 链 路 运行 的 特点 
实验 内 容 

公司 内 部 网 络 是 个 中 型 的 IPv6 网 络 ，R1 和 R2 是 公司 两 台 核 心路 由 器 , R3 是 IT 部 
门路 由 器 ， 与 核心 层 路 由 器 R1 直 连 。R4 为 人 事 部 门路 由 器 ， 与 核心 层 路 由 器 R2 直 连 。 
为 了 使 公司 内 网 所 有 部 门 网 络 能 互相 通信 , 需要 在 此 网 络 中 配置 支持 IPv6 的 动态 路 由 协 


议 。 考 虑 到 公司 网 络 较 大 以 及 网 络 的 扩展 ， 部 署 OSPFV3。 核 心 层 路 由 器 之 间 为 区 域 0， 
整个 IT 部 门 在 区 域 1 中， 人事 部 在 区 域 2 中 。 


实验 拓扑 
OSPFv3 基础 配置 的 拓扑 如 图 13-3 所 示 。 







GE 0/0/0 









GE 0/0/1 
GE 0/0/1 








Sl 





Ethernet 0/0/1 
国 一 一 
GE 0/0/0 


MN R3 
0/0/1 


Ethernet 0/0n 
EE 0/0/0 















Ethernet 0/0/2 Ethernet 0/0/2 


Ethernet 0/0/1 Ethernet 0/0/1 


图 13-3 ”OSPFv3 基础 配置 拓扑 


实验 编 址 
实验 编 址 见 表 13-3。 
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表 13-3 实验 编 址 


| GEo | 20:1 | 64 | 
| GE | 2002:1 | 64 | 
| GEo | 2001:2 | 6 
| GE001 | 2003:2 | 6 
GE 0/0/0 3001::E 64 

GEIOL | 2003:4 | 6 | 
| GEooo | 3002:E | 64 | 
| Ethemetool | 307:1 | 6 | 













RI (AR1220) 


R2 (AR1220) 


R3 (AR1220) 











R4 (AR1220) 


实验 步骤 


1. 基本 配置 
在 各 台 设 备 上 开启 IPv6 功能 ， 根 据 实验 编 址 表 进行 相应 的 基本 IPv6 地 址 配置 ， 并 
使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
[Rl1]ping ipv6 2001::2 
PING 2001::2 : 56 data bytes, press CTRL C to break 
Reply from 2001::2 
bytes=56 Sequence=l hop limit=64 time=270 ms 
Reply from 2001::2 
bytes=56 Sequence=2 hop limit=64 time=70ms 
Reply from 2001::2 
bytes=56 Sequence=3 hop limit=64 time = 50 ms 
Reply from 2001::2 
bytes=56 Sequence=4 hop limit=64 time= 40 ms 
Reply from 2001::2 
bytes=56 Sequence=5 hop limit=64 time = 40 ms 
-一 2001::2 ping statistics 一 - 


Spacket(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 40/94/270 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 


2. 搭建 OSPFv3 网 络 
在 各 路 由 器 上 创建 OSPFv3 进程 1， 并 在 OSPFv3 进程 中 配置 每 台 路 由 器 的 OSPF 
Router-ID。R1、R2、R3、R4 的 Router-ID 分 别 为 1.1.1.1、2.2.2.2、3.3.3.3、4.4.4.4。 


[Rllospfv3 1 
[R1-ospfv3-1]router-id 1.1.1.1 


[R2]ospfv3 1 
[R2-ospfv3-1]router-id 2.2.2.2— 


[R3]ospfv3 1 
[R3-ospfv3-1]router-id 3.3.3.3 
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Pre Se ~ 9 本 
如 果 不 配 置 RouterID，OSPFv3 的 邻居 就 无 法 建立 。 因 为 在 OSPFv3 中 ， 路 由 器 是 
以 Router-ID 作为 标识 的 ， 而 不 是 用 接口 地 址 来 标识 。 
在 接口 下 配置 OSPFv3, 区 域 按照 图 13-3 划分 的 区 域 进行 配置 , IT 部 门 属于 区 域 1， 
人 事 部 门 属于 区 域 2， 区 域 1 和 区 域 2 通过 骨干 区 域 0 相连 。 汪汪 
KR 


配置 完成 后 ， 查 看 每 台 路 由 器 上 的 OSPFv3 邻居 状态 。 
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可 以 观察 到 ， 所 有 路 由 器 都 成 功 建立 起 了 OSPFv3 邻居 。 
查看 每 台 路 由 器 的 IPv6 路 由 表 。 
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可 以 观察 到 ， 各 个 路 由 器 之 间 相 互 接收 到 了 添加 进 OSPFv3 进程 接口 所 在 网 段 的 路 
由 条 目 。 
在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 


PC-1 和 PC-2 可 以 通过 OSPFv3 路 由 协议 进行 通信 。 
3， 验 证 OSPFv3 建立 邻居 的 特性 
在 Rl 的 GE 0/0/0 接口 下 删除 之 前 配置 的 IPv6 地 址 。 


配置 完成 后 ， 在 R1 上 使 用 display ospfv3 peer 命令 查看 邻居 关系 。 


Err 上 已 经 没有 与 R2 间 的 邻居 关系 - i 
在 Rl 的 GE 0/0/0 接口 上 配置 与 R2 直 连 接口 所 在 IPv6 网 段 不 同 前 级 的 IPv6 地 址 
2009: :1/64。 
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了 配 ; 完成 后 ， 在 Rl 上 使 用 display ospfv3 peer 命令 查看 邻居 关系 。 





可 以 观察 到 RI1 与 R2 仍然 能 建立 邻居 关系 。 这 是 因为 OSPFv3 的 邻居 关系 建立 是 通 
过 Link-Local 地 址 来 实现 的 , 即 链 路 上 两 端的 IPV6 地 址 即使 拥有 不 同 的 前 缀 也 可 以 建立 
邻居 关系 ,而 OSPFv2 在 同一 链 路 上 必须 要 使 用 相同 网 段 的 了 Pv4 地 址 才能 建立 邻居 关系 。 
R1 上 查看 GE 0/0/0 接口 上 的 Link-Local 地 址 。 









“ 当 通 过 改变 接口 的 IPv6 地 址 时 ，Link-Local 地 址 是 不 会 改变 的 ， 所 以 R1 与 R2 的 
OSPFv3 邻居 关系 仍然 可 以 建立 起 来 。 
思考 


在 本 实验 中 ，OSPFv3 协议 修改 了 全 球 单 播 地址 ， 邻 居 关 系 未 受 影响 ， 请 问 各 网 络 
间 的 通信 是 否 正常 ? 从 此 处 能 够 得 到 什么 启示 ? 
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配置 NAT 





392 HCNA 网 络 技术 实验 指南 


14.1 实现 eNSP 与 真实 PC 桥接 


原理 概述 


eNSP 不 仅 支 持 单机 部 署 ， 同 时 还 支持 Server 端 分 布 式 部 署 在 多 台 服 务 器 上 ， 分 布 
式 部 署 环境 下 能 够 支持 更 多 设备 组 成 复杂 的 大 型 网 络 。eNSP 还 可 与 真实 设备 对 接 ， 通 
过 虚拟 设备 接口 与 真实 网 卡 的 绑 定 ， 实 现 虚拟 设备 与 真实 设备 的 对 接 ， 进 而 实现 虚拟 网 
络 与 真实 网 络 的 互 连 互通 。 


实验 内 容 


本 实验 将 介绍 如 何 使 用 eNSP 中 的 去 设备 实现 模拟 器 与 真实 电脑 的 桥接 ， 实 现 与 真 
实 电脑 或 其 他 设备 间 的 正常 通信 。 


实验 目的 


e 掌握 在 eNSP 中 使 用 云 设 备 与 虚拟 PC 连接 的 方法 
。 掌握 在 eNSP 中 使 用 云 设备 与 真实 PC 上 的 物理 网 卡 桥 接 的 方法 


实验 步骤 


1. 配置 云 设备 
双击 eNSP 图 标 ， 打 开 模 拟 器 ， 选 择 界面 左 侧 Cloud 栏 的 “ 云 设 备 ” 图 标 ， 拖 进 拓 
扑 图 中 ， 如 图 14-1 所 示 。 


Cloud: 
可 动态 配置 设备 接 





图 14-1 选取 设备 
在 云 设备 图 标 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “设置 ” 命令 ， 如 图 14.2 所 示 。 
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Cloud: 
可 动态 配置 设备 接 
口 ， 管 理 端口 映射 
规则 ， 将 端口 与 真 
实 网 卡 绑 定 。 






图 14-2 ”右键 选择 “设置 ” 


进入 云 设 置 界面 后 ,创建 一 个 端口 。 在 “ 绑 定 信息 ” 下 拉 列 表 中 选择 “UDP”， 在 “ 端 
口 类 型 ”下 拉 列 表 中 选择 “Ethernet”， 然 后 单 击 “ 增 加 ”按钮 ， 新 创建 端口 的 信息 将 会 
出 现在 端口 信息 表 中 ， 序 列 号 为 1， 如 图 14-3 所 示 。 











eee wwroamecememmmy | 


WIP: 


a wn 


a 











图 14.3 创建 端口 


创建 另外 一 个 端口 。“ 绑 定 信息 ”选择 真实 PC 中 任意 一 个 网 卡 地 址 , 这 里 选择 了 PC 中 
的 无 线 网 卡 ，IP 地 址 为 192.168.6.33,“ 端 口 类 型 ”仍然 选择 “Ethemet”， 如 图 14-4 所 示 。 
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14-4 创建 端口 
单 击 “ 增 加 ”按钮 ， 端 口 列表 中 会 显示 第 2 个 端口 的 








图 14-5 创建 端口 


接 下 来 在 “端口 映射 设置 ” 栏 中 创建 端口 的 映射 关系 。 在 “入 端口 编号 ”下 拉 列 表 
中 选择 “2” 也 就 是 刚才 所 创建 的 对 应 真实 PC 上 无 线 网 卡 的 端口 ， 将 “出 端口 编号 ” 
选择 为 “1”， 选 中 “双向 通道 ” 复 选 框 ， 然 后 单 击 “ 增 加 ”按钮 ， 即 可 添加 到 右 侧 的 “ 端 
口 映 射 表 ”中 ， 如 图 14-6 所 示 。 
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图 14-6 ”创建 端口 映射 关系 


端口 的 映射 关系 表 说 明了 模拟 器 的 设备 与 真实 的 PC 之 间 的 通信 连接 方式 ， 指 明了 
数据 从 哪个 接口 发 送 ， 从 哪个 接口 接收 。 

2. 为 模拟 器 添加 设备 ， 实 现 与 真实 设备 的 桥接 

在 eNSP 模拟 器 中 添加 一 台 虚 拟 PC， 使 用 线 缆 连 接 到 云 设备 的 E 0/0/1 接口 ， 如 图 
14-7 所 示 ， 并 启动 设备 。 








图 14-7 添加 虚拟 PC 


为 eNSP 模拟 器 中 的 PC 设置 IP 地 址 为 192.168.6.1， 子 网 掩 码 为 255.255.255.0 (该 
地 址 要 配置 成 与 真实 电脑 的 卫 地 址 为 同一 网 段 )， 如 图 14-8 所 示 。 


396 HCNA 网 络 技术 实验 指南 
CCUENT? "A 
| 厂 到 suk | 富生 组 匡 。 | DPK 所 工具 | 
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司 挣 态 DHCP 自动 获取 DNS 服务 器 地 址 | 

职 地 址 ; 192 . 168 ，6 1 DNS1: | | 

子 网 搞 码 255 . 255 .255 . 0 DNS2: (eR 

网 关 ; "Et 和 | 
| 1IPv6 配置 
| 命 戎 访 DHcpv6 | 

jpv6 地 址 : 

前 8 长 度 128 | 
| Jpv6 网 关 : | 
| 
| 应 用 | 
| 
ee i A Me i 

图 14-8 ”PC 配置 界面 
3. 验证 模拟 器 中 的 PC 与 真实 PC 之 间 的 连通 性 


从 > 人 人 
DD 令 


在 真实 PC 上 使 用 ping 
通 ， 如 图 14-9 所 示 。 





了 








图 14-9 测试 与 虚拟 PC 间 的 连通 性 
在 模拟 器 中 使 用 ping 命令 ,验证 与 真实 PC 间 的 连通 性 ,观察 到 可 以 连通 ,如 图 14-10 


所 示 。 


验证 与 模拟 器 中 虚拟 PC 间 的 连通 性 ， 观 察 到 可 以 连 
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CLIENTI — 


基础 陀 置 命令 行 诅 揪 UDP 发 记 工具 





图 14-10 ”测试 与 真实 PC 间 的 连通 性 


至 此 ， 成 功 实现 了 真实 PC 通过 eNSP 中 云 设 备 的 桥接 功能 与 虚拟 PC 间 的 通信 。 


bs 
< 和 为 保证 与 真实 PC 通信 能 够 正常 进行 ， 请 先 关闭 操作 系统 的 防火 墙 。 


14.2 SNMP 基础 配置 


原理 概述 


随 着 网 络 规模 的 日 益 发 展 ， 现 有 的 网 络 中 ， 设 备 数量 日 益 庞大 。 当 这 些 设备 发 生 故 
障 时 ， 由 于 设备 无 法 主动 上 报 故 障 ， 导 致 网 络 管理 员 无 法 及 时 感知 、 定 位 和 排除 故障 ， 
从 而 导致 网 络 的 维护 效率 降低 ， 维 护 工作 量 大 大 增加 。 

为 了 解决 这 个 问题 ， 设 备 制造 商 已 经 在 一 些 设备 中 提供 了 网 络 管理 的 功能 ， 这 样 网 
管 就 可 以 远程 查看 设备 的 状态 ， 同 样 ， 设 备 也 能 够 在 特定 类 型 的 事件 发 生 时 向 网 络 管理 
[ 作 站 发 出 警告 。SNMP (Simple Network Management Protocol， 简 单 网 络 管理 协议 ) 就 
是 规定 网 管 站 和 设备 之 间 如 何 传递 管理 信息 的 应 用 层 协议 。SNMP 定义 了 网 管 管理 设备 
的 几 种 操作 ， 以 及 设备 故障 时 能 向 网 管 主动 发 送 告警 。 网 络 管理 使 用 SNMP 协议 时 存在 
网 络 管理 站 (NMS)、 代 理 进程 (Agent) 和 被 管理 设备 3 个 角色 。 

时 网 络 管理 站 (NMS ): 向 被 管理 设备 发 送 各 种 查询 报 文 ， 以 及 接收 被 管理 设备 发 
送 的 告警 

图 代理 进程 (Agent): 是 被 管理 设备 上 的 一 个 代理 进程 ,用 于 维护 被 管理 设备 的 信 
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县 数据 并 响应 来 自 NMS 的 请 求 ， 把 管理 数据 汇报 给 发 送 请 求 的 NMS。Agent 的 作用 为 
接收 、 解 析 来 自 网 管 站 的 查询 报 文 ， 根据 报 文 类 型 对 管理 变量 进行 Read 或 Write 操作 ， 
并 生成 响应 报 文 ， 返 回 给 网 管 站 ; 根据 各 协议 模块 对 告警 触发 条 件 的 定义 ， 在 达到 触发 
条 件 后 ， 如 进入 、 退 出 系统 视图 或 设备 重新 启动 等 ， 相 应 的 模块 通过 Agent 主动 向 网 管 
站 发 送 告警 ， 报 告 所 发 生 的 事件 ; 

国 被 管理 设备 : 接受 网 管 的 管理 ， 产 生 和 主动 上 报告 警 。 


实验 内 容 


本 实验 模拟 真实 网 络 场景 。 在 网 络 当中 分 别 部 署 了 两 台 管 理 站 设备 (NMS) 和 一 台 
代理 站 设备 〈Agent)， 分 别 使 用 两 台 PC 来 模拟 NMS; 一 台 路 由 器 来 模拟 Agent。 本 实 
验 将 介绍 如 何 配置 Agent 设备 、 版 本 ， 配 置 管理 站 及 用 户 权 限 ， 了 解 SNMP 协议 的 作用 
及 管理 方法 。 被 管理 的 设备 可 以 是 路 由 器 、 服 务 器 、 交 换 机 、 主 机 等 设备 ， 一 般 与 Agent 
部 署 在 同一 网 络 。 


实验 目的 


。 理解 SNMP 应 用 场景 

。 掌握 配置 SNMP Agent 的 方法 

。 掌握 配置 SNMP 版 本 的 方法 

。 掌握 配置 管理 站 、 用 户 权 限 的 方法 
实验 拓扑 


SNMP 基础 配置 的 拓扑 如 图 14-11 所 示 。 





Ethernet 0/0/1 










Ethernet 0/0/2 : Ethernet 0/0/1 
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Dey 
GE 0/0/0 
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Ethernet 0/0/3 


Ethernet 0/0/1 








NMS-2 


图 14-11 ”SNMB 基础 配置 拓扑 


实验 编 址 
实验 编 址 见 表 14-1。 
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表 14-1 l ET 


口 | IP 地址 | ” 子 网 撞 码 | 
Ethernet 0/0/1 255.255.255.0 


- Ethernet 0/0/1 10.1.1.2 255.255.255.0 
Agent (AR2220) GE 0/0/0 10.1.1.254 255.255.255.0 


实验 步骤 


1. 基本 配置 
将 两 台 PC 模拟 成 管理 站 ， 分别 为 NMS-1、NMS-2， 根 据 实验 编 址 表 配 置 设备 名 称 
及 卫 地 址 ， 并 验证 连通 性 。 
[Agentjping 10.1.1.1 
PING 10.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=128 time=550 ms 
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=128 time=200 ms 
Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=128 time=150 ms 
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=128 time=90 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=128 time=120 ms 
~-- 10.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 90/222/550 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 开启 Agent 服务 
将 路 由 器 模拟 为 代理 站 设备 ， 需 要 为 其 启动 SNMP Agent 服务 。 
[Agentjsnmp-agent 
配置 完成 后 使 用 display snmp-agent sys-info 命令 查看 SNMP 信息 。 
[Agentjdisplay snmp-agent sys-info 
The contact person forthis managed node: 
R&D Shenzhen, Huawei Technologies Co., Ltd. 
The physical location of this node: 
Shenzhen China 
SNMP version running in the system: 
SNMPVI SNMPVv2c SNMPv3 
显示 当前 默认 情况 下 所 运行 的 SNMP 版 本 为 v1、v2c、Yv3。 
3. 配置 SNMP 版 本 
SNMP 一 共有 3 个 版 本 ， 分 别 为 v1、v2c、v3， 开 启 SNMP 服务 后 默认 同时 兼容 3 
个 版 本 。 当 网 络 规模 较 小 且 安全 性 较 高 时 ， 在 规划 时 可 配置 设备 使 用 SNMPv1 版 本 与 网 
管 进行 通信 ; 当 网 络 规模 较 大 ， 安 全 性 较 高 时 ， 但 运行 的 业务 较为 繁忙 ， 在 规划 时 配置 
设备 使 用 SNMPv2c 版 本 与 网 管 进行 通信 当 网 络 规模 较 大 且 安 全 性 较 低 时 ， 在 规划 时 
配置 设备 使 用 SNMPv3 版 本 与 网 管 进 行 通信 ， 并 配置 认证 和 加 密 功 能 保证 安全 性 。 
根据 实际 网 络 需求 ， 使 用 snmp-agent sys-info 命令 配置 SNMP 版 本 ， 本 例 中 使 用 
SNMPv3 版 本 。 
[Agentjsnmp-agent sys-info version v3 
配置 完 后 查看 Agent 信息 。 
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[Agentjdisplay snmp-agent sys-info version 
SNMP version running in the system: 
SNMPv3 

显示 当前 运行 的 SNMP 版 本 为 v3。 

由 于 SNMPv3 版 本 适用 于 大 型 网 络 规模 ， 且 可 以 配置 认证 加 密 ， 在 实际 工作 环境 下 
通常 使 用 该 版 本 。 

4. 配置 NMS 管理 权限 

如 果 网 络 中 不 止 一 个 管理 站 用 户 ， 可 以 根据 业务 需要 ， 为 不 同 管理 站 用 户 设置 不 同 
的 访问 权限 。 本 实验 中 有 两 个 管理 站 用 户 ， 现 仅 允 许 NMS-2 可 以 管理 设备 。 

配置 基本 ACL， 限 制 NMS-2 管理 设备 、NMS-1 不 允许 管理 设备 。 

[Agent]aci 2000 

[Agent-acL-basic-2000]rule 5 permit source 10.1.1.2 0.0.0.255 

[Agent-acl-basic-2000]rule 10 deny source 10.1.1.1 0.0.0.255 


配置 用 户 组 为 group， 用 户 名 为 user， 指 定 使 用 ACL2000。 


[Agent]snmp-agent usm-user v3 user group acl 2000 


配置 完成 后 ， 查 看 SNMPv3 息 。 
[Agentldisplay snmp-agent usm-user 
User name: user 





ee mode: No authentication mode, Privacy mode: No privacy mode 
Storage type: nonVolatile 
User status: active 
Total number is 1 
可 以 观察 到 ， 配 置 已 经 生效 。 
5， 配 置 向 SNMP Agent 输出 Trap 信息 
网 络 管理 员 需 要 查看 被 管理 者 产生 的 Trap 信息 , 以 便 监控 设备 运行 情况 及 定位 故障 
信息 。 
配置 Agent 发 送 Trap 消息 。 用 于 接收 该 Trap 消息 的 网 管 名 为 adminNMS2， 目 标 地 
址 为 10.1.1.2， 且 指定 接收 该 消息 使 用 UDP 端口 为 9991。Trap 消息 的 发 送 参 数 信息 列表 
名 称 为 tapNMS2。 


[Agentjsnmp-agent target-host trap-hostname adminNMS2 address 10.1.1.2 udp-port 9991 trap-paramsname trapNMS2 
开启 设备 的 告警 开关 。 只 有 将 该 开关 打开 以 后 ，Agent 才 会 向 网 管 站 发 送 告 警 消息 。 
[Agent]snmp-agent trap enable 


Info: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y 
设置 告警 消息 的 队列 长 度 为 200〈 默 认 值 为 100)。 如 果 某 个 时 间 段 trap 报 文 消息 很 
为 防止 丢 包 ， 可 以 设置 增加 消息 队列 长 度 以 便 减少 丢 包 的 情况 发 生 。 
[Agentjsnmp-agent trap queue-size 200 
设置 报 文 消息 的 保存 时 间 为 240 秒 〈 默 认 值 为 120)。 该 值 是 Trap 报 文 消息 的 生存 
时 间 ， 如 果 超 过 该 时 间 报 文 将 会 被 丢弃 ， 不 再 发 送 ， 也 不 再 保存 。 

[Agentlsnmp-agent trap life 240 

为 了 便于 维护 ， 配 置 管理 员 的 联系 方式 ， 电 话 为 400-822-9999， 地 址 为 中 国 深 圳 。 


[Agentljsnmp-agent sys-info contact call admin 400-822-9999 


多 


- 


第 14 章 其 他 特性 401 


[Agentjsnmp-agent sys-info location ShenZhen China 
配置 完 后 使 用 display snmp-agent sys-info 命令 查看 相关 的 系统 信息 。 
[Agent]display snmp-agent sys-info 

The contact person for this managed node: 

call admin 400-822-9999 

The physical ee of this node: 


查看 SNMP Agent 输出 网 管 的 信息 。 


[Agentjdisplay snmp-agent target-host 
Traphost list: 


Parameter list trap target host: 
Total number is 0 


配置 完成 后 通过 命令 可 以 观察 到 Trap 目标 主机 名 为 adminNMS2, 主机 地 址 10.1.1.2， 
主机 端口 为 9991， 目 标 主机 参数 列表 名 为 ttapNMS2。 


14.3 GRE 协议 基础 配置 


原理 概述 


GRE (Generic Routing Encapsulation， 通 用 路 由 封装 协议 ) 提供 了 将 一 种 协议 的 报 
文 封 装 在 另 一 种 协议 报 文中 的 机 制 ， 使 报 文 能 够 在 异种 网 络 (如 IPv4 网 络 ) 中 传输 ， 而 
异种 报 文 传输 的 通道 称 为 Tunnel。 

GRE 协议 也 可 以 作为 VPN 的 第 三 层 隧道 (Tunnel) 协议 ， 为 VPN 数据 提供 透明 传 
输 通道 。Tunnel 是 一 个 虚拟 的 点 对 点 的 连接 ， 可 以 看 成 仅 支持 点 对 点 连接 的 虚拟 接口 ， 
这 个 接口 提供 了 一 条 通路 ， 使 封装 的 数据 报 能 够 在 这 个 通路 上 传输 ， 并 在 一 个 Tunnel 
的 两 端 分 别 对 数据 报 进行 封装 及 解 封装 。 


实验 目的 
。 理解 GRE 协议 的 使 用 场景 
。 掌握 配置 GRE 隧道 的 方法 
。 掌握 配置 基于 GRE 接口 的 动态 路 由 协议 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场 景 。R1 为 企业 总 部 的 网 关 设 备 ， 并 且 内 部 有 一 台 服 务 器 ， 
R3 连接 着 企业 分 公司 的 网 关 设 备 ，R2 为 公 网 ISP 设备 。 一 般 情 况 下 ， 运 营 商 只 会 维护 
自身 的 公 网 路 由 信息 ， 而 不 会 维护 企业 内 部 私 网 的 路 由 信息 ， 即 运营 商 设 备 上 的 路 由 表 
中 不 会 出 现任 何 企业 内 部 私 网 的 路 由 条 目 。 通 过 配置 GRE 实现 公司 总 部 和 分 部 间 私 网 路 
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由 信息 的 透 传 及 数据 通信 。 
实验 拓扑 
GRE 协议 基础 配置 的 拓扑 如 图 14-12 所 示 。 


Ef 
wy 


/ 、 了 
Serial 1/0/0,. 7 R2 “Serial 1/0/1 


/ 、 










、 
‘ , N 
的 
2 a 
流 Serial 1/0/0 Serial 1/0/0 SS 
> 1 EE 
民 民 
Ethernet 2/0/0 RI Ethernet 2/0/0 


Ethernet 0/0/0 Ethernet 0/0/1 


Server 


s 操 


图 14-12” GRE 协议 基础 配置 拓扑 


实验 编 址 


实验 编 址 见 表 14-2。 
表 14-2 
5 设备 -月 Te 默认 网 关 
Server 192.168.10.1 
R1 CAR2220) Ethernet 2/0/0 192.168.10.1 255.255.255.0 N/A 
Serial 1/0/0 10.1.12.1 255.255.255.0 N/A 





Ve NR Serial 1/0/0 10.1.12.2 255.255.255.0 N/A 
Serial 1/0/1 10.1.23.2 255.255.255.0 N/A 
me Serial 1/0/0 255.255.255.0 N/A 
Ethernet 2/0/0 192.168.20.1 255.255.255.0 N/A 

PC Ethernet 0/0/1 192.168.20.20 255.255.255.0 192.168.20.1 


实验 步骤 


1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
通 性 。 

<Rl>ping -c 1 192.168.10.10 < 

PING 192.168.10.10: 56 data bytes, press CTRL_C to break 
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Reply from 192.168.10.10: bytes=56 Sequence=] ttl=255 time=510 ms 
一 - 192.168.10.10 ping statistics --- 

1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 510/510/510 ms 

其 余 直 连 网 段 的 连通 性 测试 省 略 。 

在 Rl 和 R3 上 分 别 配 置 访问 公 网 路 由 器 R2 的 默认 路 由 。 


[R1]Jip route-static 0.0.0.0 0.0.0.0 10.1.12.2 


[R3Jip route-static 0.0.0.0.0.0.0.0 10.1.23.2 

配置 完成 后 在 PC 上 测试 与 总 部 服务 器 间 的 连通 性 。 
PC>ping 192.168.10.10 

Ping 192.168.10.10: 32 data bytes, Piess CtrlL_C to break 

Request timeout! 


可 以 观察 到 ， 跨 越 了 互联 网 的 两 个 私 网 网 段 之 间 默 认 是 无 法 直接 通信 的 。 此 时 可 以 
通过 GRE 协议 来 实现 通信 。 

2. 配置 GRE Tunnel 

在 路 由 器 R1 和 R3 上 配置 GRE Tunnel， 使 用 interface tunnel 命令 创建 隧道 接口 ， 
指定 隧道 模式 为 GRE。 配 置 R1 Tunnel 接口 的 源 地 址 为 其 S 1/0/0 接口 PP 地址， 目的 地 
址 为 R3 的 S 1/0/0 接口 耳 地 址 ; 配置 R3 Tunnel 接口 源 地 址 为 其 S 1/0/0 接口 卫 地 址 ， 
目的 地 址 为 R1 的 S 1/0/0 接口 下 地址 。 还 要 使 用 ip address 命令 配置 Tunnel 接口 的 卫 
地 址 ， 注 意 要 在 同一 网 段 。 

[Rljinterface tunnel 0/0/0 

[R1-Tunnel0/0/0]tunnel-protocol gre 

[R1-Tunnel0/0/0]source 10.1.12.1 


[RI-Tunnel0/0/0Jdestination 10.1.23.1 
[R1-Tunnel0/0/0Jip address 172.16.1,1 24 


[R3]interface tunnel 0/0/0 
[R3-Tunnel0/0/0]tunnel-protocol gre 
[R3-Tunnel0/0/0]source 10.1:23.1 
[R3-Tunnel0/0/0]destination 10.1.12.1 
[R3-Tunnel0/0/0jip address 172.16.1.2 24 
配置 完成 后 ， 在 R1 上 测试 本 端 隧道 接口 地 址 与 目的 端口 隧道 接口 地 址 的 连通 性 。 
[RI]ping -a 172.16.1.1 172.16.1.2 
PING 172.16.1.2: 56 data bytes, press CTRL_C to break 
Reply from 172.16.1.2: bytes=56 Sequence=] ttl=255 time=60 ms 
Reply from 172.16.1.2: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 172.16.1.2: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 172.16.1.2: bytes=56 Sequence=4 ttl=255 time=50 ms 
Reply from 172.16.1.2: bytes=56 Sequenice=5 ttl=255 time=60 ms 
--- 172.16.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
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0.00% packet loss 

round-trip min/avg/max = 50/56/60 ms 

可 以 观察 到 ， 通 信和 正常 。 

在 Rl 和 R3 上 分 别 执行 display interface tunnel 命令 查看 隧道 接口 状态 。 
[RIlldisplay interface Tunnel 0/0/0 

Tunnel0/0/0 current state : UP 

Line protocol current state : UP 

Last line protocol up time : 2013-05-29 15:36:53 UTC-08:00 

Description: 

Route Port,The Maximum Transmit Unit is 1500 

Internet Address is 172.16.1.1/24 

Encapsulation is TUNNEL, loopback not set 

Tunnel source 10.1.12.1 (Serial1/0/0), destination 10.1.23.1 

Tunnel protocol/transport GRE/IP, key disabled - 
keepalive disabled 


[R3]display interface Tunnel 0/0/0 

Tunnel0/0/0 current state ; UP 

Line protocol current state ; UP 

Last line protocol up time : 2013-05-29 16:06:09 UTC-08:00 
Description: 

Route Port,The Maximum Transmit Unit is 1500 

Internet Address is 172.16.1.2/24 

Encapsulation is TUNNEL, loopback not set 

Tunnel source 10.1.23.1 (Serial1/0/0), destination 10.1.12.1 
Tunnel protocol/transport GRE/IP, key disabled 

keepalive disabled 


nen 


可 以 观察 到 ， 当 前 隧道 接口 的 物理 层 状态 为 正常 启动 状态 ， 链 路 层 协议 状态 为 正常 
运行 状态 ， 隧 道 封装 协议 为 GRE 协议 ，Tunnel 的 全 地 址 及 所 配置 的 隧道 源 和 目的 地 址 
分 别 为 Rl 和 了 R3 的 S1/0/0 接口 地 址 。 

在 RI1 和 R2 上 执行 display ip routing-table 命令 查看 路 由 表 。 


[Rl1]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations ; 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

0.0.0.0/0 Static 66 “0 RD 10.1.12.2 Seriall/0/0 
10.1.12.0/24 Direct 0 0 D 10.1.12.1 Seriall/0/0 
10.1.12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.1.12.2/32 Direct 0 0 D 10j 122 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.1 Tunnel0/0/0 
172.16.1.1/32 Direct 0 0 D 127:0.0.1 = Tunnel0/0/0— 
192.168.10.0/24 © Direct 0 0 D 192.168.10.1 Ethernet2/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 Ethernet2/0/0 


[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 
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一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask POtd Fre Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD .10.1.23.2 Seriall/0/0 
10.1.23.0/24 Direct 0 0 Di01234 Seriall/0/0 
TOT23.1/32 Direct 0 0 D ，.127003 Seriall/0/0 
VB 232032 Direct 0 0 D101.232 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D127.0.0:1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D27.0.0i4 InLoopBack0 
172.16.10/24 Direw ol LAO 2 RED 
op ee ot a mo 
192.168.20.0/24 a Direct ， 0 192.168.20.1 Ethernet2/0/0 
192.168.20.1/32 。 Direct 0 127.0.0.1 Ethernet2/0/0 


可 以 观察 到 ，R1 和 R3 的 路 由 表 中 己 经 有 所 配置 隧道 接 口 的 路 由 条 目 。 即 R1 和 R3 
间 已 经 形成 了 类 似 点 到 点 直 连 的 逻辑 链 路 ， 但 没有 互相 接收 到 对 方 的 私 网 路 由 信息 。 

3. 配置 基于 GRE 接口 的 动态 路 由 协议 

经 过 上 面 的 步骤 C， R1 和 R3 之 间 的 GRE 隧道 已 经 建立 , 测试 分 部 PC 与 总 部 服务 器 
间 的 连通 性 。 

PC>ping 192.168.10.10 

Ping 192.,168.10.10; 32 data bytes, Press Ctrl_C to break 

Request timeout! 

Request timeout! 

Request timeout! 


Request timeout! 
Request timeout! 


仍然 无 法 正常 通信 。 原 因 是 目前 还 没有 配置 基于 GRE 隧道 接口 的 路 由 协议 。GRE 
协议 支持 组 播 数 据 的 传输 ， 因 此 可 以 支持 一 些 动态 路 由 协议 的 运行 ， 动 态 路 由 协议 通过 
GRE 协议 形成 的 轴 辑 隧道 在 R1 和 R3 间 传 递 路 由 信息 。 

在 Rl 和 R3 上 配置 RIPv2 协议 ， 通 告 相 应 的 私 网 网 段 和 Tunnel 接口 所 在 网 络 。 


[Rilrip 1 

[R1-rip-1]version 2 

[Rl-rip-l jnetwork 192.168.10.0 
[R1-rip-1]network 172.16.0.0 


[R3]rip 1 

[R3-rip-1]version 2 
[R3-rip-1]network 192.168.20.0 
[R3-rip-1]network 172.16.0.0 


分 别 在 R1 与 R3 上 查看 RIP 邻居 。 


[R1]display rip 1 neighbor 


17216.12 Tunnel0/0/0 RE 0:0:7 
Number of RIProutes :1 


[R3]display rip 1 neighbor 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


IP Address Interface Type Last-Heard-Time 


406 HCNA 网 络 技术 实验 指南 


172.16.1.1 Tunnel0/0/0 RIP 0:0:12 
Number of RIProutes :1 


可 以 观察 到 ， 此 时 双方 都 已 经 通过 隧道 接口 建立 了 RIP 邻居 关系 。 
查看 路 由 器 R1 和 R3 路 由 表 。 


[Rl]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes; 11 
Destination/Mask Proto Pre "Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD 10,1,19.2 Seriall/0/0 
10.1.12.0/24 Direct 0 0 D 10:1.12.1 ， Seriall/0/0 
10.1.12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.1.12.2/32 Direct 0 0 D 10.1.12.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.1 Tunnel0/0/0 
172.16.1.1/32 Direct 0 0 D 127.0.0.1 Tunnel0/0/0 
192.168.10.0/24 Direct 0 0 D 192,168.10.1 Ethernet2/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 Ethernet2/0/0 
192.168.20.0/24 RIP OO ll D I72.16:1.2 Tunnel0/0/0 
[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD 10.1.232 Seriall/0/0 
10.1.23.0/24 Direct 0 0 D 10.1.23.1 Seriall/0/0 
10.1.23.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.1.23.2/32 Direct 0 0 D 10.1.23.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.2 Tunnel0/0/0 
172.16:1.2/32 ”Direct 0 0 D 127.0.0.1 Tunnel0/0/0 
192.168.10.0/24 RIP 2 1 D 172.16.1.1 Tunnel0/0/0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 Ethernet2/0/0 
192.168.20.1/32 Direct 0 0 D 127.0.0.1 Ethernet2/0/0 


可 以 观察 到 ， 双 方 都 能 接收 到 各 自 内 部 私有 网 络 发 送 过 来 的 路 由 更 新 。 
在 分 公司 PC 上 测试 与 总 公司 Server 间 的 连通 性 。 
PC>ping 192.168.10.10 
Ping 192.168.10.10: 32 data bytes, Press Ctrl_C to break 
From 192.168.10.10: bytes=32 seq=1 ttl=126 time=47 ms 
From 192.168.10.10: bytes=32 seq=2 ttl=126 time=46 ms 
From 192.168.10.10: bytes=32 seq=3 ttl=126 time=47 ms 
From 192.168.10.10: bytes=32 seq=4 ttl=126 time=62 ms 
From 192.168.10.10: bytes=32 seq=5 ttl=126 time=47 ms 
~—- 192.168.10.10 ping statistics --- 
5 packet(s) transmitted 
$5 packet(s) received 
0.00% packet loss 
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round-trip min/avg/max = 46/49/62 ms 
可 以 观察 到 ， 通 信和 正常 。 查 看 路 由 器 R2 的 路 由 表 。 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Routing Tables: Public 


Destinations : 8 Routes:8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.12.0/24 Direct 0 0 5 a 1 i ses Seriall/0/0 
10.1.12.1/32 Direct 0 0 D0 Seriall/0/0 
10.1.12.2/32 Direct 0 0 D00 Seriall/0/0 
10.1.23.0/24 Direct 0 0 D ~ 210:123% Seriall/0/1 
10.1.23.1/32 Direct 0 0 D1023.j Serial1/0/1 
10.1.23.2/32 Direct 0 D 127.0.0.1 Seriall/0/1 
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0 
127.0.0.132 Direct 0 0 127.0.0.1 JnLoopBack0 


可 以 观察 到 R2 二 R1 和 和 的 各 自私 网 网 段 的 路 由 信息 。 说 明 通过 GRE 
协议 建立 起 来 的 隧道 ， 能 够 跨 公 网 传递 各 个 内 部 私有 网 络 的 路 由 信息 ， 实 现 了 两 个 私有 
网 络 间 的 跨 公 网 通信 。 


对 于 一 个 GRE 隧道 接口 是 否 处 于 UP 状态 ， 仅 取决 于 本 端 设备 物理 接口 是 否 正 
常 开 启 、 隧 道 源 、 目 的 地 址 是 否 配置 以 及 隧道 接口 是 否 配置 了 卫 地 址 ， 需 要 强调 的 是 设 
备 并 不 会 检测 对 端 隧道 端点 地 址 是 否 真正 可 达 ， 而 只 判断 本 地 路 由 表 中 是 否 存在 到 达 对 
端 隧道 端点 地 址 的 路 由 ( 含 默 认 路 由 )。 为 此 GRE 引入 了 keepalive 机 制 以 定期 检测 对 端 
隧道 端点 的 可 达 性 ， 避 免 路 由 转发 黑洞 问题 。 


思考 


GRE 是 一 种 三 层 隧道 协议 , 可 以 形成 逻辑 的 点 到 点 直 连 隧道 , 支持 组 播 数 据 的 传输 ， 
但 是 它 的 安全 性 能 较 差 , 不 能 实现 隧道 中 所 传输 数据 的 加 密 。 那么 GRE 应 采用 何 种 方式 
实现 组 播 数据 跨 互 联网 的 加 密 传输 ? 


14.4 配置 NAT 


原理 概述 


早 在 20 世纪 90 年 代 初 ， 有 关 RFC 文档 就 提出 了 IP 地 址 耗 尽 的 可 能 性 。IPv6 技术 
的 提出 虽然 可 以 从 根本 上 解决 地 址 短缺 的 问题 ， 但 是 也 无 法 立刻 替换 现 有 成 熟 且 广泛 应 
用 的 IPv4 网 络 。 既 然 不 能 立即 过 渡 到 IPv6 网 络 , 那么 必须 使 用 一 些 技术 手段 来 延长 IPv4 
的 寿命 ， 其 中 广泛 使 用 的 技术 之 一 就 是 网 络 地 址 转换 (Network Address Translation， 
NAT)。 

NAT 是 将 下 数据 报 文 报头 中 的 全 地 址 转换 为 男 一 个 PP 地址 的 过 程 , 主要 用 于 实现 
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内 部 网 络 〈 私 有 卫 地 址 ) 访问 外 部 网 络 (公有 了 全 地 址 ) 的 功能 。NAT 有 3 种 类 型 : 静 
态 NAT、 动 态 地 址 NAT 以 及 网 络 地 址 端口 转换 NAPT。 

NAT 转换 设备 实现 NAT 功能 的 网 络 设备 ) 维护 着 地 址 转换 表 ， 所 有 经 过 NAT 转 
换 设 备 并 且 需 要 进行 地 址 转换 的 报 文 ， 都 会 通过 该 表 做 相应 转换 。NAT 转换 设备 处 于 内 
部 网 络 和 外 部 网 络 的 连接 处 ， 常 见 的 有 路 由 器 、 防 火 墙 等 。 


实验 目的 


。 理解 NAT 的 应 用 场景 

。 掌握 静态 NAT 的 配置 

e 掌握 NAT Outbound 的 配置 
e 掌握 NAT Easy-IP 的 配置 

。 掌握 NAT Server 的 配置 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。R1 是 公司 的 出 口 网 关 路 由 器 , 公司 内 员工 和 服务 器 都 通 
过 交换 机 S1 或 S2 连接 到 R1 上 ，R2 模拟 外 网 设备 与 R1 直 连 。 由 于 公司 内 网 都 使 用 私 
网 全 地 址 ,为 了 实现 公司 内 部 分 员工 可 以 访问 外 网 ， 服务器 可 以 供 外 网 用 户 访 问 ， 网 络 
管理 员 需 要 在 路 由 器 R1 上 配置 NAT: 使 用 静态 NAT 和 NAT Outbound 技术 使 部 分 员工 
可 以 访问 外 网 ， 使 用 NAT Server 技术 使 服务 器 可 以 供 外 网 用 户 访问 。 


实验 拓扑 
配置 NAT 的 拓扑 如 图 14-13 所 示 。 


Ethernet 0/0/1 


PC-1 Ethernet 0/0/1 













CE 001 [ES 
TI 本 省 GE 0/0/0 提 浊 
GE 0/0/0 
Rl1 R2 
Ethernet 0/0/1 | = 
PC-2 im TI 
Waaya2 
Ethernet 0/0/2 
| Ethernet 0/0/1 





图 14-13 配置 NAT 拓扑 
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实验 编 址 


实验 编 址 见 表 14-3。 
表 14-3 实验 编 址 


二 设备- 默认 网 关 
202.169.10.1 N/A 
R1 (AR2200) GE 0/0/1 172.16.1.254 N/A 
N/A 
es NA 
N/A 
PC-1 172.16.1.254 
PC-2 172.17.1.254 


PC-3 Ethernet 0/0/1 172.17.1.3 255.255.255.0 172.17.1.254 
Server Ethernet 0/0/0 172.16.1.3 255.255.255.0 172.16.1.254 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


<Rl>ping -c 1 202.169.10.2 
PING 202.169.10.2: 56 data bytes, press CTRL _C to break 
Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=140 ms 
=- 202.169.10.2 ping statistics 一 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 140/140/140 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 静态 NAT 
公司 在 网 关 路 由 器 R1 上 配置 访问 外 网 的 默认 路 由 。 
[Rllip route-static 0.0.0.0 0.0.0.0 202.169.10.2 
由 于 内 网 使 用 的 都 是 私有 卫 地 址 ， 员 工 无 法 直接 访问 公 网 。 现 需要 在 网 关 路 由 器 
R1 上 配置 NAT 地 址 转换 ， 将 私 网 地 址 转换 为 公 网 地 址 。 
PC-1 为 公司 客户 经 理 使 用 的 终端 ， 不 仅 需要 自身 能 访问 外 网 ， 还 需要 外 网 用 户 也 能 够 直 
接 访 问 他 ， 因 此 网 络 管理 员 分 配 了 一 个 公 网 卫 地 址 202.169.10.5 给 PC-1 做 静态 NAT 地 址 转 
换 。 在 RI1 的 GE 0/0/0 接口 下 使 用 nat static 命令 配置 内 i 


[Rllinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1 
配置 完成 后 ， 在 Rl1 上 查看 NAT 静态 配置 信息 ， 并 在 PC-1 上 使 用 ping 命令 测试 与 
外 网 的 连通 性 。 
<R1>display nat static 
Static Nat Information: 
Interface : GigabitEthermet0/0/0 
Global IP/Port :202.169.10.5/- 一 
Inside IP/Port :172.16.1.1/--—- 
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PC>ping 202.169.20.1 
Ping 202.169.20.1: 32 data bytes, Press Ctrl C to break 世 
From 202.169.20.1: bytes=32 seq=1 ttl=254 time=422 ms 
From 202.169.20.1: bytes=32 seq=2 ttl=254 time=156 ms 
From 202.169.20.1: bytes=32 seq=3 tt=254 time=203 ms 
From 202.169.20.1: bytes=32 seq=4 tti=254 time=47 ms 
From 202.169.20.1: bytes=32 seq=5 ttl=254 time=63 ms 
—- 202.169.20.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 47/178/422 ms 


可 以 观察 到 ，PC-1 通过 静态 NAT 地 址 转换 已 经 可 以 成 功 访问 外 网 。 在 路 由 器 Rl 
的 GE 0/0/0 接口 上 抓 包 查 看 NAT 地 址 转换 是 否 成 功 ， 结 果 如 图 14-14 所 示 。 


bytes 592 Captur eo b 
图 Ethernet 二 Src: HasaiTe b5:133n8 C00: eoffc 5 :1a:a8), DES HuaveTe_51: 3a:6d i 6d) 





Header Monahh: 20 bytes 

田 Differentiated Services Field: Ox00 (DsCP Ox00: Default; ECN: Ox00) 
Total Length: 60 
Identification: Oxbb9b (48027) 

本 Flags: 0x02 (Don't Fragment) 

Fragment offset: 0 
Time to live: 127 
Protoco1: ICMP (1) 

田 Header checksum: Ox8ccc [correct] 
Source: 202.169.10,.5 (202.169.10.5) 
Destination: 202.169.20.1 (202.169.20.1) 

田 Internet Control Message Protoco] 


图 14-14 ” 抓 包 观察 


可 以 观察 到 R1 已 经 成 功 把 来 自 PC-1 的 ICMP 报 文 的 源 地址 172.16.1.1 转换 成 公 网 地 
址 202.169.10.5。 在 R2 上 使 用 环 回 口 Loopback 0 模拟 外 网 用 户 访问 PC-1, 并 在 PC-1 的 E0/0/1 
接口 上 抓 包 观察 ， 如 图 14-15 所 示 。 


<R2>ping -a 202.169.20.1 202.169.10.5 

PING 202.169.10.5; 56 data bytes, press CTRL_C to break 
Reply from 202.169.10.5; bytes=56 Sequence=1l ttl=127 time=260 ms 
Reply from 202.169.10.5: bytes=56 Sequence=2 ttl=127 time=140 ms 
Reply from 202.169.10.5: bytes=56 Sequence=3 ttl=127 time=110 ms ? RE 
Reply from 202.169.10.5: bytes=56 Sequence=4 ttl=127 time=130 ms 
Reply from 202.169.10.5: bytes=56 Sequence=5 ttl=127 time=40 ms 人 

—- 202.169.10.5 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 

~ round-trip min/avg/max = 40/136/260 ms 
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-村 
26 :62 0000 HuawWeiTe 
27 34.850000 HuaweiTe._5h: Spa =tree-(for=5 ST. ROOE 





’ G4 98 byt Pi 
田 Ethernet IT， SH rT 1as We 《oo: 0 b5:1as A Dst: Re 2€:37 (54:89:98:cf:2c:37) 
日 Internet protocol, Sre 202,169,.20.1 (202,169,20.14), Dst: 172.16,.1.1 (172.16.1.1) 
version: 4 
Header length: 20 bytes 
田 Differentiated Services Field: Ox00 (DSCP 0x00: Default; ECN: Ox00) 
Total Length: 84 
Identification: OQx0026 (38) 
田 Flags: 0x00 
Fragment offset: 0 
Time to live: 254 
Protocol: ICMP (1) 
困 Header checksum: Dx30c7 [correct] 
Source: 202.169.20.1 (202.169.20.1) 
Destination: 172.16.1.1 (172.16.1.1) 
田 Internet Control Message Protoco] 


图 14-15 抓 包 观 察 


可 以 观察 到 由 于 PC-1 的 私 网 地 址 被 转换 为 唯一 的 公 网 地 址 ， 外 网 用 户 也 能 主动 访 
问 PC-1， 且 数据 包 在 经 过 R1 进入 内 网 的 时 候 ，R1 把 目的 他 转换 为 与 公 网 地 址 
202.169.10.5 对 应 的 私 网 地 址 172.16.1.1 发 给 PC-1。 

3 配置 NAT Outbound 

公司 内 市 场 部 的 员工 都 需要 能 够 访问 外 网 ,市 场 部 使 用 私 网 IP 地址 172.17.1.0/24 网 
段 ， 网 络 管理 员 使 用 公 网 地 址 池 202.169.10.50~202.169.10.60 为 市 场 部 员工 做 NAT 转换 。 

在 R1 上 使 用 nat addres-group 命令 配置 NAT 地 址 池 ， 设 置 起 始 和 结束 地 址 分 别 为 
202.169.10.50 和 202.169.10.60。 

[Rl]nat address-group 1 202.169.10.50 202.169.10.60 


创建 基本 ACL 2000， 匹 配 20.1.1.0， 掩 码 为 24 位 的 地 址 段 。 
[RI]acl 2001 
[R1-acl-basic-2001]rule 5 permit source 172.17.1.0 0.0.0.255 


在 GE 0/0/0 接口 下 使 用 nat outbound 命令 将 ACL 2001 与 地 址 池 相 关联 , 使 得 ACL 
中 规定 的 地 址 可 以 使 用 地 址 池 进 行 地 址 转换 。 


[R1jinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 no-pat 


配置 完成 后 ， 在 R1 上 查看 NAT Outbound 信息 。 


[R1]display nat outbound 
NAT Outbound Information' 





Total : 1 
可 以 观察 到 有 R1 上 的 NAT Outbound 配置 信息 。 使 用 PC-2 测试 与 外 网 的 连通 性 ， 并 


在 Rl 的 接口 GE 0/0/0 上 抓 包 观察 地 址 转换 情况 ， 如 图 14-16 所 示 。 


PC>ping 202.169.20.1 
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Ping 202.169.20.1: 32 data bytes, Press Ctrl_C to break 
From 202.169.20.1: bytes=32 seq=1 ttl=254 time=219 ms 
From 202.169.20.1: bytes=32 seq=2 ttl=254 time=141 ms 
From 202.169.20.1: bytes=32 seq=3 ttl=254 time=94 ms 
From 202.169.20.1: bytes=32 seq=4 ttl=254 time=47 ms 
From 202.169.20.1: bytes=32 seq=5 ttl=254 time=94 ms 
一 202.169.20.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 47/119/219 ms 





25000 HuaweTTe 03:e5:0a Broadcast ARP s 202.,169.10, 50? 


2 0.1 02.169.10. 

3 0.125000 HuaweiTe_03:64: 1e HuaweiTe_03:e5: A ARP 202. 169.10.50 15 at O00: 中 fe 03: a 
40.156000 202.169:20:1 202.169-10.50 ICMP ? Echo (ping) reply (id=0x98db; seq(be/1e) 
51.187000 202.169.10.51 202.169.20.1 -wm TCMP “Echo (ping) request (id=0x99db, seq(be/1e) 
61.265000 HuaweiTe_03:e5:0a Broadcast ARP who has 202.169.10.51? Tell 202.169.10.2 


71.297000 HuaweiTe_03:64:le HuaweiTre 03:e5:0a ARP 202.169:10.51 1s at 00:e0:fc:03:64:1e 





由 Frame 1: 74 74 
因 Ethernet II, Src: HuaweiTe_03:;64:1e Co0: e0:fc:03:64:1e), Dst: HuaweiTe_03:e5:0a (00;e0:fc:03:e5:0a) 
BInternet Protocol, Sre: 202.169.10.50 (202.169.10.50), Dst: 202;169.20.1 (202.169.20.1) 
Version: 4 
Header length: 20 bytes 
® Differentiated Services Field: Ox00 (DsCP Ox00: Default; ECN: Ox00) 
Total Length: 60 
Identification: Oxdb98 (56216) 
加 Flags: Ox02 (Don't Fragment) 
Fragment offser: 0 
Time to live: 127 
Protocol: ICMP (1) 
田 Header checksum: Ox6ca2 [correct] 
Source: 202.169.10.50 (202,169.10.50) 
Destination: 202,169.20.1 (202.169.20.1) 
轩 InNternet Corcrol Message Prorocol 


图 14-16 抓 包 观察 


可 以 观察 到 PC-2 可 以 成 功 访问 外 网 ， 且 通过 抓 包 分 析 ， 来 自 PC-2 的 ICMP 数据 包 
在 Rl 的 GE 0/0/0 接口 上 源 地 址 172.17.1.2 被 替换 为 地 址 池 中 第 一 个 地 址 202.169.10.50。 

4. 配置 NAT Easy - 了 

由 于 公司 发 展 人 员 扩 招 , 车 继续 使 用 多 对 多 的 NAT 转换 方式 , 就 必须 增加 公 网 地 址 
池 的 地 址 数 。 为 了 节约 公 网 地 址 ， 网 络 管理 员 使 用 多 对 一 的 Easy-IP 转换 方式 实现 市 场 
部 员工 访问 外 网 的 需求 。 

Easy-IP 是 NAPT 的 一 种 方式 ， 直 接 借用 路 由 器 出 接口 IP 地 址 作为 公 网 地 址 ， 将 不 
同 的 内 部 地 址 映射 到 同一 公有 地 址 的 不 同 端口 号 上 ， 实 现 多 对 一 地 址 转换 。 网 络 管理 员 
配置 路 由 器 R1 的 GE 0/0/0 接口 为 Easy-IP 接口 。 

在 Rl 的 GE 0/0/0 接口 上 删除 NAT Outbound 配置 ， 并 使 用 nat outbound 命令 配置 
Easy-IP 特性 ， 直 接 使 用 接口 IP 地 址 作为 NAT 转换 后 的 地 址 。 

[Rl]interface GigabitEthernet 0/0/0 


[R1-GigabitEthemet0/0/0jundo nat outbound 2001 address-group 1 no-pat 
[R1-GigabitEthermmet0/0/0]nat outbound 2001 


配置 完成 后 ， 在 PC-2 和 PC-3 上 使 用 UDP 发 包工 具 发 送 UDP 数据 包 到 公 网 地 址 
202.169.20.1， 配 置 好 目的 IP 和 UDP 源 、 目 的 端口 号 后 , 输入 字符 串 数据 后 单 击 “ 发 送 ” 
按钮 ， 如 图 14-17、 图 14-18 所 示 。 
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FF FFFFFFFFAF 


目的 pp 地 址 ; 202 ,169 ,20 .1 
目的 端口 号 : 0 (0~65535) 


WAN ven ID: E33 优先 级 : | | om 


数据 
输入 十 六 进 制 字 符 串 数据 : 
123456 


源 MAC 地 址 ; 
源 IP 地 址 : 
源 端 口号 ; 





数据 包 信息 
数据 包 长 度 : 56 (2865539 MrU: 1500 (28~65535) 











| 时 间 间 隔 : lo | ms 














目的 MAC 地 址 : 
目的 IP 地 址 ; 
目的 端口 号 ; 
VLAN 


| wy vn: | | 人 寻 约 [一 @"7 


数据 , 
输入 十 六 进 制 字符 串 数据 : 
234567 


四 周期 发 送 时 间 间 及 [mo |] ms 发 包 个 数 : 














1 











图 14-18 PC-3 配置 界面 
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在 PC-2 和 PC-3 发 送 UDP 数据 包 后， 在 R1 上 查看 NAT Session 的 详细 信息 。 
<R1>display nat Session protocol udp verbose 
NAT Session Table Information: 


Protocol ;UDP(I7) 

SrcAddr PortVpn ; 172.17.1.2 2560 
DestAddr Port Vpn : 202.169.20.1 2560 
Time To Live :1208s 

NAT-Info 


NewSreAddr :202.169.1041 ， 
New SrcPort :10255 


New DestAddr 1 

New DestPort 

Protocol :UDPR(ID 

SrcAddr PortVpn : 172.17.1.3 2560 
DestAddr Port Vpn ; 202.169.20.1 2560 
Time To Live 2ZO 4 

NAT-Info 

New SrcAddr :202.169.10.1 

New SrcPort :10256 

New DestAddr 1 

New DestPort 1: 

Total : 2 


可 以 观察 到 ， 源 地 址 为 172.17.1.2 的 UDP 数据 包 被 新 源 地 址 202.169.10.1 和 新 源 端 
口号 10255 替换 ， 源 地 址 为 172.17.1.3 的 UDP 数据 包 被 新 源 地 址 202.169.10.1 和 新 源 端 
口号 10256 替换 。R1 借用 自身 GE 0/0/0 接口 的 公 网 他 地 址 为 所 有 私 网 地 址 做 NAT 转换 ， 
使 用 不 同 的 端口 号 区 分 不 同 私 网 数据 。 此 方式 不 需要 创建 地 址 池 , 大 大 节省 了 地 址 空间 。 

5. 配置 NAT Server 

公司 内 Server 提供 FTP 服务 供 外 网 用 户 访问 ， 配 置 NAT Server 并 使 用 公 网 卫 地址 
202.169.10.6 对 外 公布 服务 器 地 址 ， 然 后 开启 NAT ALG 功能 。 因 为 对 于 封装 在 卫 数据 
报 文中 的 应 用 层 协议 报 文 , 正常 的 NAT 转换 会 导致 错误 , 在 开启 某 应 用 协议 的 NAT ALG 
功能 后 ， 该 应 用 协议 报 文 可 以 正常 进行 NAT 转换 ， 否 则 该 应 用 协议 不 能 正常 工作 。 

在 Rl 的 GE 0/0/0 接 口上， 使 用 nat server 命令 定义 内 部 服务 器 的 映射 表 ， 指 定 服 
务 器 通信 协议 类 型 为 TCP， 配 置 服务 器 使 用 的 公 网 卫 地 址 为 202.169.10.6， 服 务 器 内 网 
地 址 为 172.16.1.3， 指 定 端口 号 为 21， 该 常用 端口 号 可 以 直接 使 用 关键 字 “ftp” 代 替 。 

[Rilinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]nat server protocol tep global 202.169.10.6 ftp inside 172.16.1.3 ftp 


[R1-GigabitEthernet0/0/0]quit 
[R1]nat alg ftp enable 
配置 完成 后 ， 在 R1 上 查看 NAT Server 信息 。 
<R1>display nat server 
Nat Server Information: 
Interface : GigabitEthernet0/0/0 
Global IP/Port : 202.169.10.6/21(ftp) 
«InsideIP/Port ~ :172.16.1.3/21(ftp) 
Protocol : 6(tcp) 
VPN instance-name ; ---- 
Acl number 1: 
Description : ---- 
Total ; 1 
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可 以 观察 到 ， 配 置 已 经 生效 ， 并 开启 服务 器 的 FTP 功能 ， 如 图 14-19 所 示 。 











图 14-19 ”Server 配置 界面 


设置 完 服务 器 后 ， 在 R2 上 模拟 公 网 用 户 访 问 该 ld 
<R2>ftp 202.169.10.6 

Trying 202.169.10.6 ... 

Press CTRL+K to abort 

Connected to 202.169.10.6. 

220 FtpServerTry FtpD for fiee 

User(202.169.10.6:(none)):huawei 

331 Password requirod for hubwei 

Enter password: 、 

230 User huawei logged in ,proceed 


 [R2-ftplis 
200 Port command okay- 一- 
150 Opening ASCII NO-PRINT mode data connection for ls -1. 
226 Transfer finished successfully. Data connection closed. 
FTP: 10 byte(s) received in 0.160 second(s) 62.50byte(s)/sec. 
可 以 观察 到 ， 公 网 用 户 可 以 成 功 登 录 公 司 内 的 私 网 FTP 服务器。 


思考 
什么 情况 下 需要 使 用 到 NAT 的 双向 转换 ? 





附录 
命令 索引 
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CE 


查看 系统 当前 日 期 和 时 钟 


用 来 对 本 地 时 区 信息 进行 设置 。time-zone-name 指 定时 区 名 称 ; add 
与 通用 协调 时 间 UTC 相 比 ，time-zone-name 增 加 的 时 间 偏 移 量 ， 即 在 
clock timezone time- 系统 默认 的 UTC 时 区 的 基础 上 ， 加 上 ofer， 就 可 以 得 到 
zone-name { add | time-zone-name 所 标识 的 时 区 时 间 ; minus 与 UTC 时 间 相 比 ， 
minus } offset time-zone-name 减 少 的 时 间 偏 移 量 ， 即 在 系统 默认 的 UTC 时 区 的 基础 
上 , 减 去 offset， 就 可 以 得 到 time-zone-name 所 标识 的 时 区 时 间 ; offset 
指定 与 UTC 的 时 间 差 


display clock 用 来 查看 系统 当前 日 期 和 时 钟 


display users 用 来 查看 每 个 用 户 界 面 的 用 户 登录 信息 


Er 用 来 从 当前 视图 退回 到 较 低 级 别 视图 ， 如 果 是 用 户 视图 ， 则 退出 系统 
rm 用 来 从 除 用 户 视图 外 的 其 它 视图 退回 到 用 户 视图 


用 来 使 用 户 从 用 户 视图 进入 系统 视图 
用 来 配置 用 户 级 别 。level level 指定 用 户 级 别 


用 来 进入 一 个 或 多 个 用 户 界 面 视图 。wi-type 指 定 用 户 界 面 (User-interface) 
user-interface [ wi-type ] | 的 类 型 ; first-ui-number 指 定 配置 的 第 一 个 用 户 界面 编号 ; last-wi-number 
first-ui-number 指定 配置 的 最 后 一 个 用 户 界面 编号 。 选 择 此 参数 , 将 同时 进入 多 个 用 户 
[last-ui-number ] 界面 视图 。 此 参数 只 有 在 wi-type 取 值 是 VTY 或 TTY 类 型 时 才 有 效 。 
last-ui-number 的 取 值 要 比 first-ui-number 取 值 大 


用 来 进入 用 户 某 个 目录 操作 文件 ,修改 用 户 当 前 界面 的 工作 路 径 为 此 目录 ， 
cd [.. | directory ] 用 户 当 前 目录 为 设置 好 的 默认 工作 路 径 (如 “flash:/”) 。 默 认 情 况 下 的 工 
作 路 径 为 flash:/; directory 指 定 要 进入 的 目标 目录 名 称 


用 来 拷贝 当前 设备 上 的 某 个 文件 到 目标 指定 路 径 下 。source-filename 指 定 
copy source-filename 要 拷贝 的 源 文件 名 ， 字 符 串 形式 ， 格 式 为 [ path ][ file-name ]; 


destination-filename destination-filename 指 定 要 拷贝 到 的 目标 文件 名 ， 字 符 串 形式 ， 格 式 为 
[path ][ file-name ] 


delete 用 来 删除 存储 设备 中 的 指定 文件 。 支 持 " * "通配符 


dir [ remote-filename ] 显示 目录 下 的 所 有 文件 或 查询 文件 。remote-filename 指 定 查 询 的 文件 名 : 
[ local-filename ] local-filename 指 定 保存 的 本 地 文件 名 
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ep 
Nr 


ftp [ [-a Source-ip-addn ess | -a source-ip-address 指 定 本 端 设 备 的 IPv4 地 址 ; -i interface-type 
1-Linterface-type interface- | jinteyface-number 指 定 本 端 设 备 的 出 接口 ，host 指 定 远程 FTP server 的 IP 
i ee tee poi 地 址 或 主机 名 称 ;port-number 指 定 远程 FTP 服 务 器 的 端口 号 ; public-net 
i a a 指定 在 公 网 中 连接 FTP 服 务 器 ; vpn-instance vpn-instance- 


name ] ] name 指 定 远 程 FTP 服 务 器 端的 VPN 实 例 名 
用 来 下 载 远 程 文件 并 存储 在 本 地 。remote-filename 指 定 远程 FTP server 上 
的 文件 名 ; local-filename 指 定 本 地 文件 名 
查询 指定 的 文件 。remote-filename 指 定 查询 的 远程 文件 ;local-filename 指 
定 保存 的 本 地 文件 名 


openT-asource jw-ndess | 用 来 与 远程 FTP server 建 立 控制 连接 。 命 令 中 VPN 实 例 名 ， 标 识 FTP 到 哪 


| -i interface-type interface- | 一 个 VPN 实 例 中 的 FTP server。-a source-ip-address 指 定 源 人 P 地 址 ; -i 
number ] host interface-type interface-number 指 定 本 端 可 以 连接 出 去 的 源 接口 ，host 指 定 
[port-number ] 远程 FTP server 的 人 P 地 址 或 主机 名 ; port-number 指 定 远程 FTP server 的 端口 
[ public-net | vpn-instance | 号 ; public-net 指 定 在 公 网 中 连接 :; vpn-instance vpn-instance-name 指 定 服 
vpr-instance-name | 务 器 端的 VPN 实 例 名 


用 来 在 远程 FTP 服 务 器 建立 目录 。remote-directory 指 定 目录 名 
日 


用 来 将 本 地 的 文件 上 传 到 远程 FTP server。local-filename 指 定 本 地 的 文件 
名 ; remote-filename 指 定 远程 RTP server 上 的 文件 名 


telnet [ vpn-instance vpn- | 用 来 从 当前 设备 使 用 Telnet 协 议 登 录 其 他 设备 。 vpn-instance 
instance-name ] [ -a | vpn-instance-name 指 定 通 过 Telnet 协 议 登 录 的 设备 所 属 的 VPN 实 例 名 ; -a 
source-ip-address ] source-ip-address 指 定 本 端 设备 的 IPv4 地 址 ; host-name 指 定 远 端 设备 的 IPv4 
host-name[ port-number ] | 地 址 或 主机 名 ; port-number 指 定 远 端 设 备 提供 Telnet 服 务 的 TCP 端 口号 


用 来 查看 当前 SSH 服 务 器 的 工作 状态 。 当 需要 查询 当前 SSH 服 务 器 的 
display ssh server status | 协议 版 本 、 认 证 超时 时 间 、 密 钥 更 新 周期 和 认证 重 试 次 数 时 ， 使 用 此 
命令 


dagger 用 来 查看 SSH 用 户 信息 。 当 需要 查询 SSH 用 户 的 用 户 名 、 认 证 类 型 、 密 钥 
information username 名 和 服务 类 型 时 ， 使 用 此 命令 。username 指 定 用 户 名 


用 来 查看 当前 SSH 服 务 器 的 会 话 状态 
session 


PS. 用 来 查看 本 地 密 钥 对 中 的 公 钥 部 分 信息 。 当 需要 获取 服务 器 端的 公 钥 ， 
splay rsa 10ca key” | 并 发 送 给 客户 端 保存 ， 或 确认 主机 密 铀 对 和 服务 密 钥 对 是 否 存在 时 ， 合 
pair public 用 此 命令 


display rsa peer-public- | 用 来 查看 SSH 用 户 的 密 钥 。 当 SSH 用 户 配 置 密 钥 后 需要 查看 SSH 用 户 密 钥 
key [ brief | name 的 名 称 和 数据 时 , 使 用 此 命令 。Brief 显 示 所 有 远 端 公 钥 的 简明 信息 ; name 
key-name ] key-name 指 定 远 端 公 钥 的 名 字 


rsa local-key-pair create | 用 来 创建 SSH 服 务 所 需 的 主机 密 钥 对 和 服务 密 钥 对 
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description description 





display interface 用 来 查 看 接 口 当 前 运 行 状 态 和 接 口 统 计 信 息 o interface-type 
[ interface-type [ interface-number ] 显示 指定 接口 类 型 和 接口 编号 的 接口 当前 运行 状态 
[ interface-number ] | 和 统计 信息 ; slot slot-id 显示 指定 接 日 板 编 号 的 接口 当前 运行 状态 和 统计 
Slot slot-id ] 信息 





用 来 查看 接口 与 卫 相 关 的 配置 和 统计 信息 ， 包 括 接口 接收 和 发 送 的 报 文 
数 、 字 节 数 和 组 播报 文 数 ， 以 及 接口 接收 、 发 送 、 转 发 和 丢弃 的 广播 报 
文 数 


用 来 查看 接口 与 让 相关 的 简要 信息 ,包括 下地 址 、 子 网 掩 码 、 物 理 链 路 和 
协议 的 Up/Down 状 态 以 及 处 于 不 同 状 态 的 接口 数目 


用 来 显示 当前 接口 视图 下 的 接口 信息 


用 来 进入 已 经 存在 的 接口 ， 或 创建 并 进入 逻辑 接口 。interface-type 
interface-number 指 定 接 口 类 型 和 接口 编号 。 接 口 类 型 和 接口 编号 之 间 可 
interface interface-type 以 输入 空格 也 可 以 不 输入 空格 。 输 入 接口 类 型 时 支持 用 前 几 个 字母 代表 
interface-number 整个 接口 名 称 ， 前 提 是 这 几 个 字母 可 以 唯一 标示 出 该 接口 名 。 比 如 输入 
“ethe” 可 以 唯一 代表 ethernet。 如 无 特殊 说 明 ， 本 文档 所 有 举例 只 列举 接 
口 类 型 和 接口 编号 之 间 有 空格 ， 且 接口 类 型 用 全 称 的 情况 


用 来 配置 接口 自 协商 模式 下 的 双 工 模式 


a 用 来 恢复 接口 自 协商 模式 下 的 双 工 模式 为 默认 值 。 当 以 太 网 接口 工作 在 
自 协商 模式 时 ， 默 认 情况 下 ， 它 的 双 工 模式 是 和 对 端 接 口 协商 得 到 的 

用 来 配置 接口 自 协商 模式 下 的 协商 速率 

i 用 来 恢复 接口 自 协商 模式 下 的 协商 速率 为 默认 值 。 默 认 情 况 下 ， 以 太 网 
了 接口 自 协商 速率 范围 为 接口 支持 的 所 有 速率 

es 用 来 配置 以 大 网 接口 的 速率 。 接 口 工作 于 非 自 协商 模式 时 ;点 认 情况 下 ， 

了 它 的 速率 为 100Mbits 


用 来 启用 终结 子 接口 的 ARP 广 播 功能 
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( 续 表 ) 


用 来 指定 控制 VYLAN 和 终结 子 接口 的 对 应 关系 , 从 而 区 分 同一 主 接口 下 不 
同 终结 子 接口 。Via 指 定子 接口 控制 YLAN ID， 用 于 标识 不 同 子 接口 ; 
dotlq-termination 配置 子 接口 为 dot1q 封 装 方式 ， 适 用 于 对 带 有 一 层 Tag 
报 文 终结 ; 

qinq-termination 配 置 子 接口 为 QinQ 封 装 方式 ， 适 用 于 对 带 有 两 层 Tag 报 
文 终 结 


到 -所 


dotlq termination vid vid | 用 来 配置 子 接口 对 一 层 Tag 报 文 的 终结 功能 。Vid 指定 用 户 报 文中 Tag 的 取 值 


用 来 创建 接口 链 路 层 封装 协议 为 帧 中 继 的 子 接口 。interface interface-type 
interface interface-type | jinierface-number 指 定 链 路 层 封装 协议 为 帧 中 继 的 接口 编号 ; 
mt subinterface-number 指定 子 接口 编号 ; p2mp 配 置 子 接口 类 型 为 点 到 多 点 ， 
i 当 接口 封装 的 协议 类 型 是 帧 中 继 时 ， 默 认 的 子 接口 类 型 是 p2mp;，p2p 配 
置 子 接口 类 型 为 点 到 点 


用 来 创建 Loopback 接 口 。loopback-number 指 定 Loopback 接 口 的 编号 


control-vidyid { dotlq- 
termination | 
qing-termination } 


[ trunk-id [ interface 用 来 查看 Eth-Trunk 接 口 的 配置 信息 。trunk-iad 指 定 Eth-Trunk 接 口 的 编号 ; 
interface-type interface interface-type interface-number 指 定 Eth-Trank 中 的 成 员 接 口 ; 
interface-number | Verbose 查看 Eth-Trunk 接 口 的 详细 配置 信息 


verbose ] ] 


display inter face 用 来 查看 Eth-Trunk 接 口 的 状态 信息 。trunk-id 指 定 Eth-Trunk 接 口 的 编号 ; 


-trunk EE 
et s subnumber 指 定 Eth-Trunk 子 接口 编号 


eth-trunk trunk-id 用 来 将 当前 接口 加 入 到 指定 Eth-Truank 中 。trunk-id 指定 Eth-Trunk 接 口 的 编号 


interface eth-trunk 用 来 创建 Eth-Trunk 接 口 并 进入 Eth-Trunk 接 口 视图 。trunk-id 指定 

trunk-id [.subnumber ] Eth-Trunk 接 口 的 编号 ;subnumber 指 定 Eth-Trunk 的 子 接口 编号 

| VE 二 二 ES 
display interface vlanif 
[ vian-id ] 
display vlan 用 来 查看 所 有 VLAN 的 相关 信息 


用 来 创建 VLANIF 接 口 并 进入 VLANIF 接 口 视 图 。vlan-id 指 定 待 创建 
VLANIF 接 口 所 对 应 的 VLAN 编 号 


用 来 配置 接口 的 默认 VLAN 并 同时 加 入 这 个 VLAN 。vlan-id 配置 默认 
VLAN 的 编号 


port hybrid pvid vlan 用 来 设置 Hybrid 类 型 接口 的 默认 VLAN ID。vlan-id 指定 Hybrid 类 型 接口 
vian-id 的 默认 VLAN 编 号 


用 来 查看 VLANIF 接 口 的 状态 信息 和 基本 配置 信息 。vlan-id 指 定 VLAN 编 号 


interface vlanif v/an-id 


port default vlan vian-id 
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( 续 表 ) 


vlan-idl [to vlan-id2 ] 指定 Hybrid 类 型 接口 所 属 的 VLAN, 其 中 vian-id! 表 
port hybrid tagged vlan | 示 被 创建 的 第 一 个 VLAN 的 编号 ，to vian-id? 表 示 被 创建 的 最 后 一 个 
如 10> | 。 | VLAN 的 编号 vlan-ig2 的 取信 必须 大 于 vian-id1 的 取 值 ， 它 和 vlan-id1 共同 
al } 确定 一 个 范围 。 如 果 不 指定 to vian-id2 参 数 ， 则 只 创建 vian-idl 所 指定 的 
VLAN。all 指 定 Hybrid 接 口 所 属 的 所 有 VLAN 


用 来 配置 Hybrid 类 型 接口 所 属 的 VLAN， 这 些 VLAN 的 帧 以 Untagged 方 式 
port hybrid untagged 从 该 接口 发 送出 去 。vlan-idl [ to vlan-id2 ] 指定 Hybrid 类 型 接口 所 属 的 
vlan { { vian-idl [ to VLAN， 其 中 vlan-idl 表 示 被 创建 的 第 一 个 VLAN 的 编号 ，to vian-id2 表 示 
vian-id2 ] }&<1~10> | 被 创建 的 最 后 一 个 VLAN 的 编号 。vian-id2 的 取 值 必须 大 于 vlan-idl 的 取 
all } 值 ， 它 和 vlan-idl 共 同 确定 一 个 范围 。 如 果 不 指定 to vlan-id2 参 数 ， 则 只 创 
建 vian-id1 所 指定 的 VLAN。all 指 定 Hybrid 接 口 所 属 的 所 有 VLAN 


port link-type { access | | 用 来 配置 接口 的 链 路 类 型 。access 配 置 接口 的 链 路 类 型 为 access; hybrid 
hybrid | trunk } 配置 接口 的 链 路 类 型 为 Hybrid; trunk 配 置 接口 的 链 路 类 型 为 Trank 


用 来 配置 Trunk 类 型 接口 加 入 的 VLAN。 vian-idl [ to vlan-id2 ] 指定 Trunk 类 型 
port trunk allow-pass 。 | 接口 所 属 的 VLAN， 其 中 van-idl 表 示 被 创建 的 第 一 个 VLAN 的 编号 ;to 
1 < [0 | | War 表示 被 创建 的 最 后 一 个 VLAN 的 编号 。vioni2 的 取信 必须 大 于 
all } vlan-id1 的 取 值 , 它 和 vlan-idl 共 同 确定 一 个 范围 。 如 果 不 指定 to vian-id2 参 数 ， 

则 只 创建 vian-idl 所 指定 的 VLAN。all 指 定 Trunk 接 口 属于 所 有 VLAN 


port trunk pvid vlan 用 来 设置 Trunk 类 型 接口 的 默认 VLAN ID。vlan-id 指 定 Trunk 类 型 接口 的 默 


vlan-id 认 VLAN 编 号 


vlan vian-id 用 来 创建 VLAN 并 进入 VLAN 视 图 。vlan-id 配 置 VLAN 的 编号 





用 来 创建 一 个 或 批量 创建 多 个 VLAN。vlan-idl [ to vlan-id2 ] 指定 VLAN 
的 编号 ， 其 中 vian-idl 表 示 被 创建 的 第 一 个 VLAN 的 编号 ; to vlan-id2 表 示 
被 创建 的 最 后 一 个 VLAN 的 编号 。vlan-id2 的 取 值 必须 大 于 vian-idl 的 取 
值 ， 它 和 vian-idl 共 同 确定 一 个 范围 。 如 果 不 指定 to vian-id2 参 数 ， 则 只 创 
建 vlan-id1 所 指定 的 VLAN 


广域网 配置 命令 
用 来 查看 使 用 帧 中 继 协议 的 接口 状态 , 包括 接口 是 作为 DTE 还 是 DCE, 以 
cispiay fr interface 及 物理 状态 和 链 路 层 协 议 状 态 , 对 于 子 接口 , 将 显示 子 接口 类 型 和 链 路 层 


int 这 HVA 9 -4 和 me) 
er es 协议 状态 。interface-ype 指 定 接口 类 型 不 指定 口 类 型 则 显示 所 有 帧 中 继 
接口 的 信息 ; interface-number 指 定 接口 编号 


用 来 显示 帧 中 继 地 址 映射 表 


display fr pvc-info 用 来 查看 帧 中 继 虚 电路 的 配置 情况 和 统计 信息 


用 来 为 帧 中 继 接 口 配 置 虚 电 路 并 进入 虚 电 路 视图 。dlei 为 帧 中 继 接 口 分 配 
的 虚 电 路 号 。 执 行 undo fr dlci 命 令 时 ， 如 果 不 指定 DLCI， 则 删除 本 接口 
上 所 有 的 DLCI; 如 果 是 在 帧 中 继 主 接口 下 执行 此 命令 ， 不 会 删除 帧 中 继 
子 接口 下 的 DLCI 


vlan batch { vian-idl 
[to vian-id2 ] }&<1~10> 





fr dlei dlci 





fr inarp [ ip [ dici-number 


| pyc-group 
pvce-group-name|] 


fr map ip { destination- 
address [ mask | | 
default } { dici-number | 
pve-group 
pve-group-name } [ [ ietf | 
nonstandard ] 
[broadcast ] ] 


link-protocol fr [ ietf | 
nonstandard ] 


link-protocol ppp 


ppp authentication-mode 


{ chap | pap } 
[[ call-in ] domain 
domain-name ] 


ppp chap password 
{ cipher | simple } 
password 


ppp chap user username 


link-protocol hdlec 


Router-ID router-id 
ip route-static 
default-cost cost 
default-route originate 
[ match default 


[avoid-learning ] ] 
[ cost cosi ] 


display rip 


display rip process-id 
database [ verbose | 
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,je 1 > 二 人 
is 7 客人 从 
er 1 巩 网 已 直 mp 福 
RN en 


用 来 允许 帧 中 继 逆 向 地 址 解析 功能 。 记 表 
析 ; dlci-number 指 定 本 地 虚 电 路 号 ; pve-group pvc-group-name 指 定 PVC 
组 名 


用 来 增加 一 条 帧 中 继 地 址 和 一 个 DLCI 的 静态 地 址 映射 。 
destination-address [mask] 指 定 目 的 IP 地 址 和 子 网 掩 码 ; default 指 定 一 条 默 
认 映 射 ;dlci-number 指定 本 地 的 数据 链 路 标识 符 ; ietf 指 定 帧 中 继 接口 报 
文 格式 为 IETF:， nonstandard 指 定 帧 中 继 接 口 报 文 格式 为 非 标 准 格式 ; 
broadecast 指定 广播 方式 ， 表 示 该 映射 上 可 以 发 送 广 播报 文 。pve-group 
pvc-group-name 指 定 PVC 组 名 。 在 ATM 接 口上 保持 唯一 ， 并 且 不 能 是 合法 
的 VPLVCI 值 对 ， 如 “1/20” 就 不 允许 作为 PVC 名 


用 来 指定 接口 链 路 层 协议 为 帧 中 继 协 议 的 封装 格式 。ietf 表 示 IETF 标 准 封 
装 ， 按 照 RFC 1490 规 定 的 格式 进行 封装 ， 为 默认 封装 格式 ，Nonstandard 
表示 非 标准 兼容 的 封装 格式 


用 来 配置 接口 封装 的 链 路 层 协议 为 PPP 


用 来 设置 本 端 PPP 协 议 对 对 端 设备 的 认证 方式 。chap 表 示 采 用 CHAP 认 证 
方式 ; pap 表 示 采 用 PAP 认 证 方式 ; call-in 表 示 只 在 远 端 用 户 呼 入 时 才 认 
证 对 方 ; domain domain-name 表 示 用 户 认 证 采用 的 域名 


用 来 配置 CHAP 验 证 的 口令 。cipher 表 示 密 码 为 密 文 显示 ; simple 表 示 密 
码 为 明文 显示 ; password 设 置 CHAP 认 证 的 口令 


用 来 配置 CHAP 验 证 的 用 户 名 。wusername 设 置 CHAP 验 证 的 用 户 名 ， 该 用 
户 名 是 发 送 到 对 端 设备 进行 CHAP 验 证 时 使 用 的 用 户 名 


用 来 配置 接口 封装 HDLC 协 议 


用 来 设置 路 由 管理 中 的 Router-ID。router-ia 指 定 IPv4 地 址 形式 的 Router-ID 
用 来 配置 IPv4 单 播 静 态 路 由 
用 来 设置 引入 路 由 的 路 由 开销 值 。cost 指 定 所 要 设 定 的 默认 路 由 权 值 


用 来 在 当前 路 由 器 生成 一 条 默认 路 由 或 者 将 路 由 表 中 存在 的 默认 路 由 发 送 
给 邻居 。match default 表 示 如 果 在 路 由 表 中 存在 其 他 路 由 协议 或 其 他 RIP 进 
程 生 成 的 默认 路 由 , 则 向 邻居 发 布 该 默认 路 由 ; avoid-learning 表 示 避 免 RIP 
进程 引入 默认 路 由 。 如 果 路 由 表 中 已 存在 的 默认 路 由 为 活跃 状态 ， 选 用 该 
参数 可 以 将 此 路 由 置 为 不 活跃 状态 。eost cost 指 定 生 成 默认 路 由 的 度量 值 


用 来 显示 RIP 进 程 的 当前 运行 状态 及 配置 信息 


用 来 查看 RIP 发 布 数 据 库 的 所 有 激活 路 由 。 这 些 路 由 以 常规 RIP 更 新 报 文 
的 形式 发 送 。Pprocess-id 指 定 RIP 进 程 号 ;verbose 显 示 RIP 发 布 数 据 库 中 路 
由 的 详细 信息 
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( 续 表 ) 






. 





全 
display rip process-id 
interface [ interface-type 
interface-number | 

[verbose ] 


用 来 显示 RIP 的 接口 信息 。process-ia 指 定 RIP 进 程 号 ; interface-type 指 定 接 
口 类 型 ， 如 GigabitEthernet、Loopback 等 ; interface-number 指 定 接口 号 ; 
verbose 指 定 查看 RIP 接 口 的 详细 信息 













用 来 显示 所 有 从 其 它 路 由 器 学 来 的 RIP 路 由 信息 ， 以 及 与 每 条 路 由 相关 的 
不 同 定时 器 的 值 。process-id 指 定 RIP 进 程 号 


用 来 从 其 他 路 由 协议 引入 路 由 


network network- 用 来 对 指定 网 段 接口 使 能 RIP 功 能 。network-address 指 定 启用 RIP 的 网 络 地 
address 址 ， 必 须 是 自然 网 段 的 地 址 


用 来 指定 NBMA 网 络 中 RIP 邻 居 路 由 器 的 人 地址。 配置 此 命令 后 ， 更 新 报 
文 以 单 播 形式 发 送 到 对 端 , 而 不 采用 正常 的 组 播 或 广播 的 形式 。ip-address 
指定 邻居 路 由 器 的 人 P 地 址 


用 来 指定 RIP 路 由 的 优先 级 ， 并 且 通 过 应 用 路 由 策略 可 以 对 特定 的 路 由 设 
置 优先 级 。preference 指 定 路 由 的 优先 级 ; route-policy 表 示 应 用 路 由 策略 ， 
对 满足 条 件 的 特定 路 由 设置 优先 级 ，route-policy-name 指 定 路 由 策略 名 称 





display rip process-id 
route 











peer ip-address 


preference { preference | 
route-policy route- 
policy-name } * 








区 用 来 启用 系统 视图 下 的 指定 RIP 进 程 


用 来 配置 RIP-2 的 验证 方式 及 验证 参数 。 每 次 验证 只 支持 一 个 验证 字 ， 新 


rip authentication-mode 





输入 的 验证 字 将 覆盖 旧 验 证 字 


[mit | 用 来 允许 指定 接口 接收 RIP 报 文 


用 来 设置 接口 接收 RIP 报 文 时 给 路 由 增加 的 度量 值 。vaixe 指 定 对 接收 到 的 
路 由 增加 度量 值 


rip metricin value 
用 来 设置 接口 发 送 RIP 报 文 给 路 由 增加 的 度量 值 


用 来 配置 RIP 更 新 报 文 的 毒性 反 转 进程 
用 来 配置 RIP 水 平分 割 功能 


用 来 设置 一 个 RIP 路 由 器 发 布 一 个 聚合 的 本 地 IP 地 址 。jp-address 表 示 需 要 
聚合 的 网 络 IP 地 址 ，mask 表 示 网 络 掩 码 ，avoid-feedback 表 示 禁 止 从 此 接 
口 学 习 到 相同 的 聚合 路 由 


用 来 设置 接口 的 RIP 版 本 。1 表 示 RIP-1 报 文 ，2 表 示 RIP-2 报 文 ，broadecast 
表示 以 广播 方式 发 送 RIP-2 报 文 ，multicast 表 示 以 组 播 方式 发 送 RIP-2 报 
文 。 默 认 情况 下 ，RIP-2 报 文 使 用 组 播 方式 发 送 


用 来 抑制 RIP 接 口 ， 使 其 只 接收 报 文 用 来 更 新 自己 的 路 由 表 ， 而 不 发 送 更 
新 报 文 。all 指 定 抑制 所 有 RIP 接 口 ; interface-type interface-number 指定 接 
口 类 型 及 编号 


rip summary-address 
ip-address mask 
[avoid-feedback ] 





rip version {1|2 
[ broadcast | 
multicast ] } 






















silent-interface { all | 
interface-type 
interface-number } 
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用 来 启用 RIP 有 类 聚合 。 聚 合 后 的 路 由 以 使 用 自然 掩 码 的 路 由 形式 发 布 


用 来 调整 定时 器 。xwpdate 指 定 路 由 更 新 报 文 的 发 送 间隔 ; age 指定 路 由 老 
化 时 间 ; garbage-collect 指 定 路 由 被 从 路 由 表 中 删除 的 时 间 (标准 中 定义 
的 garbage 收 集 时 间 ) 

version {1|2} 用 来 指定 一 个 全 局 RIP 版 本 ; 1 指定 RIP-1 版 本 ; 2 指定 RIP-2 版 本 
TT eT 


timers rip update age 
garbage-collect 


用 来 在 区 域 边界 路 由 器 (ABR) 上 配置 路 由 聚合 。 如 -adcess 指 定 了 下地 址 ， 


abr-summary ip-address | 点 分 十 进 制 形式 ，mask 指 定 IP 地 址 的 掩 码 ， 点 分 十 进 制 形式 ; advertise | 
mask [ [ advertise | 


not-advertise ] | cost 
cost ] 


not-advertise 指 定 是 否 发 布 这 条 聚合 路 由 , 默认 为 发 布 聚合 路 由 ; cost cost 
设置 聚合 路 由 的 开销 。 当 此 参数 不 配置 时 , 则 取 所 有 被 聚合 的 路 由 中 最 大 
的 那个 开销 值 作为 聚合 路 由 的 开销 


ee 用 来 创建 并 进入 OSPF 区 域 视 图 。area-id 指 定 区 域 的 标识 ， 可 以 是 十 进 制 
整数 或 IP 地 址 格式 


用 来 设置 OSPF 对 引入 的 路 由 进行 聚合 。 轨 -address 指 定 IP 地 址 ， 点 分 十 进 
asbr-summary ip- 制 格式 ; mask 指 定 掩 码 ， 点 分 十 进 制 格式 ; not-advertise 不 通告 聚合 路 由 ， 
address mask 如 果 不 指定 该 参数 则 将 通告 聚合 路 由 ; tag tag 用 于 通过 路 由 策略 控制 路 
[not-advertise | tag tag | 由 发 布 ; cost cost 设 置 聚 合 路 由 的 开销 。 当 此 参数 不 配置 时 ， 对 于 Typel 
| eost cost | distribute- 类 外 部 路 由 , 取 所 有 被 聚合 路 由 中 的 最 大 开销 值 作为 聚合 路 由 的 开销 ; 对 
telay nerval | 于 Type2 类 外 部 路 由 ， 则 取 所 有 被 聚合 路 由 中 的 最 大 开销 值 再 加 上 1 作为 聚 

合 路 由 的 开销 。 distribute-delay interval 指定 延迟 发 布 聚合 路 由 的 时 间 


指定 区 域 所 有 路 由 器 接口 下 使 用 相同 的 验证 
Cr 


用 来 指定 运行 OSPF 协 议 的 接口 和 接口 所 属 的 区 域 。address 指 定 接口 所 在 
network address 的 网 段 地 址 ; wildcard-mask 指 定 掩 码 的 反 码 ， 相 当 于 将 人 P 地 址 的 掩 码 反 转 
wildcard-mask (0 变 1，1 变 0) 。 其 中 ，“1” 表 示 和 忽略 中 地 址 中 对 应 的 位 ，“0” 表 示 必 
须 保留 此 位 


et | lst 
ospf E E 
用 来 设置 相 邻 路 由 器 之 间 的 验证 模式 及 验证 字 


用 来 配置 接口 上 运行 OSPF 协 议 所 需 的 开销 。cost 指 定 运行 OSPF 协 议 所 需 
Ospf cost cost 的 开销 
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用 来 设置 OSPF 的 邻居 失效 时 间 
用 来 设置 接口 发 送 Hello 报 文 的 时 间 间 隔 


peer ip-address 用 来 配置 NBMA 网 络 上 相 邻 路 由 器 中 地 址 及 DR 优先 级 。ip-address 指 定 邻 接 
[ MS Prior. SE ] 点 iii wi ohana 网 eb 的 优先 级 的 相应 数值 


用 来 查看 当前 VRRP 备 份 组 的 状态 信息 和 配置 参数 


vrrp vrid 
authentication-mode 





用 来 设置 VRRP 备 份 组 的 认证 字 



















vrrp vrid virtual- 
router-id preempt-mode 
disable 


用 来 设置 备份 组 中 路 由 器 采用 非 抢 占 方式 。vrid virtual-router-id 指定 
VRRP 备 份 组 号 







vrrp vridvyirtual- 
router-id priority 
priority-value 









用 来 设置 路 由 器 在 备份 组 中 的 优先 级 。vrid virtual-router-id 指 定 VRRP 备 
份 组 号 ; priority priority-value 优先 级 取 值 







vrrp vrid virtual- 
router-id virtual-ip 
virtual-address 






用 来 创建 VRRP 备 份 组 并 为 备份 组 指定 虚拟 也 地址 。vrid virtual-router-id 
指定 VRRP 备 份 组 号 ; virtual-ip virtual-address 指 定 虚拟 IP 地 址 









vrrp virtualip ping enable | 用 来 启用 Master 设 备 响 应 ping 报 文 


active region- 用 来 激活 MST 域 配置 ， 包 括 域名 、 修 订 级 别 、VLAN 和 MSTI 的 映射 


configuration . 关系 
用 来 显示 生成 树 实例 的 状态 信息 和 统计 信息 


instance 用 来 将 指定 YLAN 映 射 到 指定 MSTI 上 








region-name name 用 来 配置 MST 域 名 


指定 MSTP 功 能 的 状态 。disable 表 示 禁 用 MSTP 功 能 ，enable 表 示 启 用 
stp { disable | enable } MSTP 功 能 
已 


stpeost | 用 来 配置 当前 接口 在 指定 MSTI 上 的 接口 路 径 开销 


指定 当前 接口 配置 为 边缘 接口 或 非 边 缘 接 口 。 默认 情况 下 , 所 有 接口 均 为 
非 边 缘 接 口 。disable 表 示 配 置 当 前 的 接口 为 非 边 缘 接 口 ，enable 表 示 配 置 
当前 的 接口 为 边缘 接口 


i i {mstp | stp | | 用 来 配置 设备 的 MSTP 工 作 模式 











stp edged-port { disable 


| enable } 
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( 续 表 ) 


stp [ instance 用 来 配置 在 指定 MSTI 中 的 优先 级 。instance instance-id 指 定 MSTI， 其 中 
instance-id ] priority instance-id 表 示 MSTI 的 编号 。priority 指定 优先 级 ， 优 先 级 值 越 小 ， 则 优 
priority 先 级 越 高 


stp region-configuration | 用 来 进入 MST 域 视图 
stp [ instance instance-id ] | 用 来 配置 当前 交换 机 作为 指定 MSTI 的 根 交换 机 
root primary 


stp [ instance instance-id] | 用 来 配置 当前 交换 机 作为 指定 MSTI 的 备份 根 交换 机 。instance instance-id 
root secondary 指定 MSTI， 其 中 jmstanmce-id 表 示 MSTI 的 编号 


用 来 启动 当前 接口 的 Root 保护 功能 
用 来 启用 交换 机 对 TC 类 型 BPDU 报 文 的 保护 功能 
用 来 配置 Hello Time 时 间 


用 来 配置 Max Age 时 间 ， 即 接口 上 的 BPDU 老 化 时 间 


stp timer-factor timer- | 通过 设 定 Hello Time 的 倍数 〔Timer Factor) 来 配置 交换 机 的 超时 时 间 


factor 


用 来 启动 接口 的 路 由 式 Proxy ARP 功 能 
用 来 配置 静态 ARP 映 射 表 
用 来 查看 所 有 接口 板 上 非 重复 的 ARP 映 射 表 和 统计 信息 


用 来 查看 所 有 接口 板 的 静态 ARP 映 射 表 





用 来 清除 ARP 映 射 表 中 的 ARP 项 
用 来 启用 DHCP 功 能 
用 来 通过 DHCP 中 继 向 DHCP 服 务 器 发 出 释放 客户 端 申请 到 的 耳 地 址 的 请 求 


se 用 来 配置 DHCP 中 继 所 代理 的 DHCP 服 务 器 地 址 
ip-address 


dhep relay server-select | 用 来 配置 DHCP 中 继 所 对 应 的 DHCP 服 务 器 组 


group-name 





用 来 启用 接口 的 DHCP 服 务 功能 ， 指 定 S5700 从 全 局 地 址 池 分 配 地 址 


Re 用 接口 的 DHCP 服 务 功能 ， 同 时 根据 接口 地 址 创建 接口 地 址 池 ， 指 
交换 机 从 接口 地 址 池 分 配 地 址 


用 来 启用 DHCP Relay 功 能 。 启 用 DHCP Relay 功 能 后 ，VLANIF 接 口 对 接收 到 
的 DHCP 报 文通 过 中 继 发 送 到 外 部 DHCP Server， 由 外 部 DHCP Server 分 配 地 址 
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( 续 表 ) 







用 来 在 DHCP 服 务 器 组 中 添加 DHCP 服 务 器 。ip-address 指 定 DHCP 服 务 器 IP 
地 址 ; 大 -aaaress-ipndex 指 定 卫 地 址 的 索引 。 配 置 DHCP 服 务 器 了 地 址 时 ， 可 
以 选择 指定 亿 地 址 索引 jp-address-index， 如 不 指定 索引 ， 系 统 将 自动 分 配 
一 个 空 闪 的 索引 ， 配 置 的 20 个 人 P 地 址 和 地 址 索引 一 一 对 应 。 删 除 DHCP 服 
务 器 地 址 时 ， 可 以 指定 卫 地 址 或 地 址 索引 进行 删除 


用 来 指定 VLANIF 接 口 地址 池 下 的 DNS 服务 器 
用 来 指定 DHCP 服 务 器 接口 地 址 池 的 域名 
(domain-name) 


dhep server exclude-ip- | 用 来 配置 VYLANIF 接 口 地 址 池 中 不 参与 自动 分 配 的 人 P 地 址 范围 。start-ip- 
address start-ip-address | address 指 定 不 参与 自动 分 配 的 PP 地 址 段 的 起 始 PP 地 址 ，end-ip-address 指 定 不 
[ end-ip-address ] 参与 自动 分 配 的 卫 地 址 段 的 结束 中 地 址 


Sr 
用 来 查看 VLANIF 接 口 对 应 的 DHCP 服 务 器 组 的 信息 
用 来 查看 设备 上 已 经 配置 的 p 地 址 池 信息 

CT TT 


gateway-list jp-address | 用 来 配置 DHCP 服 务 器 全 局 地 址 池 的 出 口 网 关 地 址 
用 来 配置 DHCP 全 局 地 址 池 下 的 地 址 租 期 


network jp-address [ mask | 用 来 配置 全 局 地 址 池 下 可 分 配 的 网 段 地 址 
{ mask | mask-length } ] 


Qisplay Mpeo' nteriee 用 来 查看 接口 的 IPv6 信 息 。interface-type 指定 接口 类 型 ;interface-number 
[ interface-type interface- 


webor ie] 指定 接口 编号 ; brief 显 示 接 口 的 摘要 信息 


用 来 启用 设备 转发 IPv6 单 播报 文 ， 包 括 本 地 IPv6 报 文 的 发 送 与 接收 


ipv6 address { ipv6- 用 来 手工 配置 接口 的 站 点 本 地 地 址 或 全 球 单 播 地 址 。ipv6-address 指定 
address prefix-length | ipv6- | IPv6 地 址 ; prefix-length 指 定 前 缀 长 度 ， 只 能 在 Loopback 接 口上 配置 前 级 长 
address/prefix-length } 度 是 128bit 的 IPv6 地 址 










dhcp-server ip-address 
[ ip-address-index ] 
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Ee UT 用 来 为 接口 配置 自动 生成 的 链 路 本 地 地 址 
nk-local 


ipv6 address { ipv6- 
address prefix-length lipv6- | 用 来 给 接口 配置 EUI-64 格 式 的 站 点 本 地 地 址 或 全 球 单 播 地 址 。ipv6-address 


address | prefix-length } 指定 IPv6 地 址 ，prefix-length 指定 前 缀 长 度 
eui-64 


用 来 手动 配置 指定 接口 的 链 路 本 地 地 址 
address link-local 


用 来 在 接口 上 户 用 IPv6 功 能 


rm eb 用 来 对 隧道 指定 目的 端 人 P 地 址 。dest-ip-address 指 定 Tunnel 的 目的 地 址 


全 hinnel 用 来 查看 Tunnel 接 口 的 信息 。interface-number 指 定 Tunnel 接 口 的 编号 
[ interface-number ] 


用 来 创建 一 个 Tunnel 接 口 ， 并 进入 该 Tunnel 接 口 视图 。interface number 
Tunnel 接 口 的 编号 ， 具 体 编号 形式 与 实际 使 用 的 硬件 设备 相关 。Tunnel 接 
口 编号 只 具有 本 地 意义 ， 隧 道 两 端 可 以 使 用 不 同 的 接口 编号 


re 用 来 指定 Tunnel 接 口 的 源 地 址 或 源 接口 


用 来 配置 隧道 模式 。gre 表 示 配 置 Tunnel 接 口 为 GRE 隧 道 模 式 ，GRE 隧 道 
为 点 到 点 模式 ; none 配 置 Tuannel 接 口 的 隧道 模式 为 NONE， 该 模式 的 隧道 
不 具备 任何 功能 ， 为 了 使 用 该 隧道 接口 ， 必 须 将 隧道 模式 切换 为 其 他 模式 


























interface tunnel 
interface-number 





















tunnel-protocol { gre | 
none } 
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